账户漏洞披露

资金零损失，账户安全无忧

2020年2月17日周一，我们的团队收到了来自samczsun的漏洞披露。该漏洞利用了账户合约中某个元交易函数的操作顺序，允许攻击者控制账户。请参阅samczsun的详细分析文章[此处]。得益于负责任的披露，我们的团队能够快速分类处理该问题，并在当晚执行了保护用户资金的方案。我们欣慰地宣布，没有任何资金损失，用户完全掌控着自己的账户。

修复方案

为修复此问题，我们利用漏洞利用程序强制将账户升级到已修补的实现，然后将控制权交还给用户。我们几乎在零服务中断的情况下完成了这一操作，处于风险中的11,422.64美元资金分文未损。

未来规划

我们是一个新项目，对智能合约有着宏伟计划。在持续迭代的过程中，我们将进行额外的安全审计，让更多专家审查代码。此外，我们之前合作的审计公司已慷慨提出将审计费用用于Authereum的漏洞赏金计划，其中一半资金将奖励给samczsun以表彰此次发现。最后，我们计划与Nexus Mutual探讨选项，为未来智能合约漏洞被利用时提供用户保障。

结论

如果您在以太坊领域进行项目开发，肯定不希望收到samczsun的消息。在以太坊网络上的实时项目中，还没有任何人能接近他发现的严重漏洞数量。虽然收到坏消息从来都不是件愉快的事，但我们非常感谢samczsun所做的工作，不仅保护了Authereum，更保护了整个领域。我们深感谦卑并印象深刻。干得漂亮，samczsun。👏

延伸阅读

Authereum, meet Parity — samczsun

Authereum账户漏洞披露与修复全解析

本文详细披露了Authereum智能合约账户存在的安全漏洞，该漏洞允许攻击者通过特定函数操作顺序控制用户账户。文章完整记录了漏洞发现、应急响应和修复方案的实施过程，并分享了项目方未来的安全加固计划。