账户漏洞披露
未造成资金损失,账户安全无虞
2020年2月17日星期一,我们的团队收到了安全研究员samczsun的漏洞披露。该漏洞利用了某个账户合约元交易函数中的操作顺序,可能允许攻击者控制用户账户。详细技术分析请参阅samczsun的完整报告。得益于负责任的信息披露,我们的团队当晚迅速完成问题排查并执行了用户资金保护方案。我们欣慰地宣布,最终未造成任何资金损失,用户仍完全掌控自己的账户。
修复方案
为解决该问题,我们利用漏洞利用程序强制将账户升级至已修复的实现版本,随后将控制权交还给用户。整个修复过程几乎实现服务零中断,成功保护了处于风险中的11,422.64美元资金。
后续计划
作为一个新兴项目,我们对智能合约有着宏伟规划。在持续迭代过程中,我们将开展更多安全审计以扩大代码审查范围。此外,先前合作的安全审计公司已慷慨提议将审计费用转为Authereum的漏洞赏金计划,其中半数资金将奖励给samczsun本次发现。最后,我们正与Nexus Mutual探讨合作方案,旨在为未来可能出现的智能合约漏洞攻击提供用户保障。
总结
在以太坊领域开展项目时,没有人希望收到samczsun的消息——迄今为止,没有人在以太坊主网项目中发现的关键漏洞数量能与其比肩。虽然收到坏消息从来不是令人愉快的经历,但我们由衷感谢samczsun不仅保障了Authereum的安全,更守护了整个生态系统的稳定。我们深感敬佩并深受震撼。干得漂亮,samczsun。👏