智能合同vulns - Re:最近一波的范围?

星期一,7月9日,2018年在下午4:45,耶利哥<jericho@attrition.org>写道:

CVE板,

在过去的几周,已经有一系列的披露在漏洞聪明的合同。这些基本上是blob住在一个网站的代码管理给定合同相关区块链/令牌。有近500的披露最近,大多数CVE作业,我相信这些范围。此外,他们是有问题的跟踪其他原因。请考虑:

1。https://etherscan.io/address/0xb57aff26bbb822c06e81f194ec5ca29319 d6d7b4 #代码

是一个脆弱的合同,他们住在网站等etherscan.io。因此,范围为“服务”的漏洞尚未覆盖的CVE风格。

这是一个代码块,所以我相信它应该覆盖(我也说应该投保服务,还有运动正在进行)。

2。该合同是一个随机的代码块不能归因于供应商。虽然合同名称可能“AIChain”,与“AIChain”令牌,这并不意味着有一个令牌的创造者和合同之间的关系。合同的创造者只被称为链上的一个地址,如https://etherscan.io/address/0x8a8690d3ffaeeb700fe8be7a86b145 b64922ec15

这是一个要求CVE ?有很多开源的代码有问题或未知的起源,以及在某些情况下我们做标签的事情作为一个生态系统的一部分。“WordPress插件”,大多数WordPress插件与WordPress一无所有公司……)。

3所示。这些合同都是互相复制/粘贴,这就是为什么我们看到很多这样的披露。有一些人/组做大部分的信息披露,并简单地扫描链上的所有合同(如ethereum)寻找blob的脆弱的代码。我们不知道一个人写了原始的脆弱的代码,复制500倍(可能),或者如果数百写同样脆弱代码blob(不太可能)。

所以我们也许看CVE合并,但XML hashdos也有类似的问题,人们剪切和粘贴。回收的东西是用来打破的。

4所示。用户不能安装一个补丁或升级来解决这样一个脆弱的合同。这个代码不是区块链本身的一部分,还是钱包/客户最终用户安装。在大多数情况下,脆弱的合同将被弃用,一个新副本将会被一个新地址我相信。如果代码是固定的合同创造者在同一地址,没有迹象表明固定时,我可以看到。所以我们甚至不一定会得到一个“2018-07-09”风格的符号,更不用说一个版本或者其他方式来跟踪合同。

“这是可以解决的”并不是一个要求CVE。至于跟踪可以追踪到大多数的合同。

5。大多数这些令牌甚至没有供应商页面或GitHub,我已经能够找到。所以即使试图追踪它的令牌就会有问题,我们不能参考供应商,软件,或版本号在大多数情况下。比较这实际blockchains如比特币,Ethereum, Litecoin,等web页面,代码回购,并由用户安装的软件,进一步对比,合同不一样的区块链本身。

我不知道你在说什么,你说除非软件/服务都有一个好的网页谈论它,我们不能支付吗?

因此,我建议董事会讨论和斜方认为如果这些价值分配cf。如果这些发现的范围,我建议未来的作业仔细检查漏洞是否在合同或实际区块链,以及拒绝的组id,颇vulns覆盖智能合同。

我强烈反对。

谢谢你！

布莱恩

- - -

Kurt Seifried
kurt@seifried.org