(日期:][下一个日期][线程:][线程下][日期索引][线程索引]
智能合同vulns - Re:最近一波的范围?
- 来耶利哥:<jericho@attrition.org>
- 主题再保险:最近一波的智能合同vulns -范围?
- 从:Kurt Seifried <kurt@seifried.org>
- 日期:星期二,-0600年7月2018 08:44:14
- Authentication-results:防晒系数= softfail(发送者的IP 198.49.146.235) smtp.mailfrom = seifried.org;imc.mitre.org;dkim =通过(签名验证)header.d = seifried-org.20150623.gappssmtp.com, imc.mitre.org;dmarc =没有行动=没有header.from = seifried.org;
- Cc:CVE编辑委员会<cve-editorial-board-list@mitre.org>
- 交货日期:2018年7月10日10:58:31星期二
- Dkim-signature:v = 1;一个= rsa-sha256;c = /放松放松;d = seifried-org.20150623.gappssmtp.com;s = 20150623;h = mime-version:回答:引用::日期:问题:主题::cc;bh = EL3H + PLXCBMjHqToKdLLd6j1ZG + SMJ58J6t + njSkdhg =;b = eFsg9Cnl7M06JclcQL411bLiDPIhmAfAiLk4mD0ZRt / 1 lwiyvisdzjlvq2mt2eknoh + Ss2Jk + pZOP7 + Z1O0IYT + 4 vxoxp2ftedkac3 + QnTaz2MLcPPGD89P5HBDeQ732IMsbHg WiNKb2fky6VRI5Va6nscnOMpt6eSdkuCupBcA6ZEDivjjkAqtRc1berxy1yoUeEMSWLQ orf / P / b + 2 byunw2ofzxcvv6stukprc / w52C3DkyziGdNd3gzOAtHp466CTxOgZzlfFm DpzWvHW4yX1nj01WdFHRmg2Jlaw4Oj56yKHaddZeVf7v + Mu3GZKjokGrxOXVEow4x08T caiQ = =
- 在回复:<alpine.LNX.2.20.1807091813090.16457@forced.attrition.org>
- 引用:<alpine.LNX.2.20.1807091732530.16457@forced.attrition.org> < CABqVa3-RFLhU5D + XyCHEO-E4piK0FdDt3_OAak = TsoFzoG8_mA@mail.gmail.com > <alpine.LNX.2.20.1807091813090.16457@forced.attrition.org>
- Spamdiagnosticmetadata:NSPM
- Spamdiagnosticoutput:1:9 9
在星期一,2018年7月9日下午5点,耶利哥<jericho@attrition.org>写道:
:> 2。该合同是一个随机的代码块不能
:>归因于供应商。尽管合同名称可能“AIChain”和
:>与AIChain的令牌,这并不意味着有一个
:>作者令牌的创造者和合同之间的关系。的
:>合同创造者只被称为链上的一个地址,如
:>https://etherscan.io/address/0 x8a8690d3ffaeeb700fe8be7a86b1 45 b64922ec15
:
:这是一个要求CVE ?有很多开源
:代码有问题或未知的起源,在某些情况下,我们所做的
:标签的事情作为一个生态系统的一部分(例如“WordPress插件”,
:大多数wordpress插件与wordpress一无所有了
:公司……)。
在我看来,这不是一个好比较。这些第三方插件
WordPress(或Drupal或任何其他CMS)通常有一个供应商页面,
版本,更新日志、回购等,这是极其罕见的没有
出处,谁写的代码,或者在哪里/维护。这些
合同是一个非常不同的事情。
好的另一个真实世界的例子:我试图追踪所有SSH客户苹果iOS商店,我没能数。这是否意味着他们得不到了CVE吗?
:> 3。这些合同都是互相复制/粘贴,这就是为什么
:>我们看到这么多的披露。有一些人/组
:>做大部分的信息披露,并简单地扫描所有合同
:>链(例如ethereum)寻找blob的脆弱的代码。我们不
:>知道如果一个人最初的脆弱的代码,复制500年写道
:> *(可能),或者如果数百写同样脆弱代码blob
:>(不太可能)。
:
:所以我们也许看CVE合并,但XML hashdos也有类似的问题,
:人们剪切和粘贴。回收的东西的情况
:坏了。
作为一个例子,这里有两个名称相同的合同,联系在一起
两个不同的标记。你能看到一种方法来确定它们是否
相同的合同,在作者的感觉吗?或者这是一个可能的情况下
复制/粘贴?我认为这也将合并决策问题。
7/3/2018 AssetToken六世硬币(vlcn)
https://etherscan.io/address/0 x0bdbc0748ba09fbe9e9ed5938532 e41446c2f033
7/3/2018 AssetToken BitRS (BitRS)
https://etherscan.io/address/0 x6248211b830ce0191c7643b19f5d db059e018672
看到我们如何不短的CVE #的了我就分手,也许彼此添加一个在每一个引用。
:> 4。用户不能安装一个补丁或升级修复一个脆弱的合同
像这样:>。这个代码不是区块链本身的一部分,也没有
:>钱包/客户最终用户安装。在大多数情况下,
:>脆弱的合同将被弃用,一个新副本将会旋转
我相信:>一个新的地址。如果代码是固定的合同的创造者
:>相同的地址,就没有当我是固定的
:>可以看到。所以我们甚至不一定会得到一个“2018-07-09”之前的风格
:>符号,更不用说一个版本或者其他方式来跟踪合同。
:
:“这是可以解决的”不是一个反暴力极端主义的要求。对于跟踪的大部分
:合同可以追踪。
“这是可跟踪的一个有意义的/有用的方式”应该是一个要求。
这是我的论点。
但它是可跟踪的,是很有帮助的。我们有钱包身份证/例子,说SoarCoin人现在知道的提供者(飙升实验室)是从事一些,我们说的恶作剧,意味着你可能希望避免硬币。这是非常有用的。
:> 5。大多数这些令牌甚至没有供应商页面或GitHub
>我已经能够找到。所以即使试图追踪它的令牌
:>问题我们不能参考供应商,软件,或版本号
:>大多数情况下。这实际blockchains如进行比较
:>比特币,Ethereum Litecoin等web页面,代码回购,
:>用户安装的软件,它进一步对比,
:>合同和区块链本身是不一样的。
:
:我不知道你在说什么,你说除非
:软件/服务有很好的网页谈论它,我们不能覆盖
:它吗?
我问的价值在哪里。如果CVE描述不能给别人
可操作的信息,他们没有(largley由于没有
包括合同的地址),它带来什么价值?作为一个
见上图,但一个简单的方面是现在我知道,我可能想避免这个硬币,或确保我不进入任何真正的坏合同/重用它们。
CVE的消费者,它需要很多挖掘最终击中
我一样在很多;给定的代码,这可能
不被复制,没有已知的作者或其他来源,这可能不行
被分配有意义的CPE(即会失踪的至少一个组件
的字符串,供应商),而且可能或不可能有一个“解决方案”
弃用和/或relcation形式。基本上,怎么有人使用
当前CVE条目为这些,以确定是否影响他们吗?
布莱恩
Kurt Seifried
kurt@seifried.org
kurt@seifried.org
- 跟进:
- 智能合同vulns - Re:最近一波的范围?
- 来自:耶利哥< jericho@attrition.org >
- 智能合同vulns - Re:最近一波的范围?
- 引用:
- 最近一波的智能合同vulns -范围?
- 来自:耶利哥< jericho@attrition.org >
- 智能合同vulns - Re:最近一波的范围?
- 来自:Kurt Seifried < kurt@seifried.org >
- 智能合同vulns - Re:最近一波的范围?
- 来自:耶利哥< jericho@attrition.org >
- 最近一波的智能合同vulns -范围?
- 上一页的日期:智能合同vulns - Re:最近一波的范围?
- 下一个按日期:智能合同vulns - Re:最近一波的范围?
- 前线程:智能合同vulns - Re:最近一波的范围?
- 下一个线程:智能合同vulns - Re:最近一波的范围?
- 指数(es):
