从Eminence合约攻击事件漏洞分析看NGK的技术安全

近日，NGK安全研究团队表示Yearn.finance的新项目Eminence合约交易发生了异常。在 Eminence智能合约中转出的三笔总额约为2千万亿美元左右，地址为：0x5ade7ae8660293f2ebfcefaba91d141d72d221e8，NGK技术安全团队对事件的分析如下：攻击者使用脚本程序，通过flashloan借入初始资金，并利用项目中的BondingCurve模型反复买卖EMN和eAAVE获取收益。

在这次交易中，攻击者首先通过Uniswap的FlashLoan服务借了1500万DaI，然后购买了所有EMN代币，总共获得了1，383，650，487个EMN代币。EMN的一半用于通过OP0购买EAAWE代币，总共获得了约572，431个EAAWE代币。

这是一个逻辑设计不符合实际智能合约代码实现而导致安全漏洞的典型案例。

NGK提出以下建议，很多团队未经严格测试审计下的项目在区块链项目热潮不减的情况下急忙上线。在这些项目中，大多数漏洞都不能通过普通的测试方法和工具被发现。唯有找出专业的技术队伍进行严格的数学模型验证，才能发现漏洞。底层系统通过协议层包括网络编程、分布式算法、加密签名、数据存储技术等来实现业务逻辑，NGK.IO通过C++的计算机语音编程，并且通过Github开源，灵石硅谷技术团队开发。NGK区块链去中心化、公开透明、无法篡改、匿名交易等特征保障了账户的安全，通过密码学、核心算法保证了数据的延续性和一致性，强大的底层模板使得NGK.IO公链上支持高性能和高效率的应用发展，同时兼顾匿名性和安全性。NGK.IO通过DPOSS授权给21个超级节点轮流出块，通过资源消耗来奖励超级节点，避免了增发造成通货膨胀。NGK结合了POW+POS的技术安全优势，更快速，更实用，同时还极大程度的提高了效率，采用企业级服务器来保障NGK区块链超级节点网络的安全和性能。

NGK.IO初始合约都进行了高强度检测，各项检测都已通过，所以不需要担心任何问题，但公链是一个开放的网络，任何人都可以自行发布智能合约，并且发布后不可修改，如果在发布之后发现了严重的漏洞，那么基本只能放弃该合约，等修改后再重新部署。如果是经营一段时间后发现合约漏洞问题，对DAPP开发者和用户的损失都是巨大的，所以NGK.IO将新发布的合约采取了审核模式，DAPP开发者可以自由发行智能合约，但是必须要通过官网提交合约审核，NGK技术团队将会对智能合约进行审计和测试，以黑名单和白名单的方式有效过滤掉劣质合约，避免了劣质合约给公链带来的困扰！

—-

编译者/作者：NGK

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。