龐博文 - 智能合約攻擊方法(三)|暗網潛航

要開展一個完整的NFT項目,除了專業的技術,信息安全意識也不容忽視,一旦欠缺信息安全意識,便有可能威脅到項目團隊及使用者的資產。因此團隊可多留意智能合約的攻擊方法,以保障項目的安全性。

「智能合約的交易伸延或者延遲攻擊」(Smart Contract Transaction Ordering Dependence(TOD)attack)為其中一種攻擊方法。每一張智能合約進行交易時都有其先後時序,它們決定了礦工費及優先次序,若程序員和礦工在生成新區塊時沒有明確定義合同的狀態和啟動時間,在銷售NFT的二級市場上將會是天大的問題。例如如果價格變動頻繁,但交易的時間性可以無限伸延或者回朔延遲,將會有人能穿梭不同時間點,隨意用偏低的價格購買NFT。

另一種手法是「時間戳倚賴性攻擊」(Timestamp Dependence attack)。網絡上任何事情都倚賴時間準確性,以太坊也不例外。以太坊對照連結可靠的NTP系統,但並非所有礦工或編寫鑄幣網站的程序員都有同樣做法。由於所有NTP系統都有一定的差異性,例如秒到毫秒、微秒、奈秒之差等。在人類角度,這只是剎那間並且難以捕捉的事情,但對電腦來說這已是可以計算的量度單位。因此如果攻擊者利用合約裏不嚴謹的時間戳,以及配置不嚴謹的區塊時間戳差異性,就可以令一個倚賴時間戳進行隨機生成彩票,或盲盒功能的智能合約,在進行抽獎時完全被操控並影響賽果。

筆者希望業界人士可藉此提高信息安全意識,盡可能保障所有持份者的資產,讓他們都能夠安心接觸區塊鏈相關的項目。
TOZ聯合創辦人
龐博文
更多文章