ATN披露以太坊合约在特殊场景下的重大漏洞并与慢雾达成战略合作协议

发表于 2023年5 月9日星期二上午 7:01:20

漏洞评估

安全等级：高

受影响的合约：atn-contracts

影响：导致 ATN 代币的总供应量发生变化。

事件：2018年5月11日上午11点46分，ATN技术团队收到异常监控提示，ATN代币供应量发生变化。他们迅速介入，确定代币合约遭到黑客攻击。ATN技术团队迅速识别出使用ds-auth库实现ERC223标准推荐合约时可能出现的罕见权限漏洞，并及时修补漏洞，冻结黑客新发行的代币，并对黑客进行追踪。同时，ATN与第三方专业区块链安全机构慢雾科技紧密合作，对ATN合约进行了联合重审。审核过程中，慢雾安全团队对ATN技术团队的快速响应和高效的合约修复给予了认可。

漏洞分析及攻击过程

为使ATN接收合约具备转账后的处理能力，ATN代币合约使用了兼容ERC20代币标准的扩展ERC223标准，并加入了dapphub/ds-auth库。单独使用ERC223或ds-auth库时没有问题，但组合使用时，黑客使用自定义回调函数调用setOwner方法获取高级权限。通过利用这种带有ds-auth库混合漏洞的ERC223方法，黑客将ATN代币合约的所有者更改为他们控制的地址。获得所有者权限后，黑客发起另一笔交易攻击ATN合约，调用mint方法向另一个地址发行Token。最后黑客调用setOwner方法恢复权限。

抵御攻击

经调查，发现黑客将新铸造的 ATN 代币分发到 14 个没有 ETH 的不同地址，消除了将它们转移到交易所洗钱的直接风险。ATN技术团队具备通过技术手段冻结黑客黑币并恢复供应量变化的能力。因此，首要的重点是如何追踪黑客。为了解决这个问题，ATN技术团队采取了以下措施：

纠正措施的准备工作包括增加一个Guard合约，禁止向ATN合约地址发送ATN，从而防止自定义回调函数调用ATN合约本身，修复攻击中利用的漏洞。还将加入黑名单合约，随时冻结黑客地址。
监控黑客的 ETH 地址，跟踪发送到交易所的存款，以获得进一步的追责证据。
取证后，立即启动修复流程，将黑客相关地址加入黑名单，禁止ATN代币转让；
ATN基金会将销毁等量的ATN代币以恢复总量，并在ATN主链上线时进行修正。

ATN团队经过监控发现，黑客将1000个ATN充值到某交易所。团队立即部署Guard安全修Compound约，禁止黑客相关地址进行转账，并取证进一步采取法律行动。

https://etherscan.io/tx/0x18bd80b810f6a6b6d397901d677657d39f8471069bcb7cfbf490c1946dfd617d

这意味着我们有可能获得黑客的KYC信息，ATN团队可以在交易所的配合下追踪黑客并保留追究责任的权利。

ATN 基金会将销毁 1100 万个 ATN 代币以恢复总供应量，并在主链映射期间从黑客地址中移除资产，以确保原来固定的总供应量不变。

基于ERC223的ATN代币特点

ERC223是对ERC20的改进和兼容，提供更好的代币功能，使接收合约具有转账和转账后处理能力。要了解更多信息，请访问https://github.com/ethereum/EIPs/issues/223。它还支持跨链功能，可用于AI Market的跨链代币支付。
因为ATN代币最初的设计包括作为交易燃料，用户或DApps可以使用ATN进行支付，ATN token合约需要具备在交易完成后触发其他业务逻辑的能力。
此外，ERC20 代币不能用于发布众筹合约，但基于 ERC223 的 ATN 可以用于此目的。可以参考ATN Swap合约。

概括

合约不是小事。由于 ATN 合约的复杂性和附加的治理机制，对其进行审计很困难，在将其部署到链上之前需要进行多次内部和外部审计。区块链合约的安全性不能仅仅依赖于开发者的经验和能力。过去的几次合约漏洞，例如臭名昭著的 TheDAO 黑客攻击以及最近针对 EDU、BAIC 和 SMT 的 ERC20 攻击，都突出了这个问题。

但ATN技术团队凭借丰富的合约部署经验、扎实的技术功底和快速的反应策略，几乎完全减轻了此次黑客造成的损失，维护了社区的整体利益，并保留追究黑客责任的权利。

ATN此次成功防御以太坊合约漏洞攻击，也为以太坊社区其他使用ERC223标准的成员提供了漏洞审查和修复案例，为整个以太坊生态的发展做出了积极的贡献。

在ATN主网上线前，ATN技术团队将持续实时监控合约和代币状态，并与慢雾科技等多家安全审计公司合作。代码将在主网上线前开源，以保证未来ATN公链生态的开源和安全。

ATN与慢雾科技达成战略合作

慢雾科技是一家专注于区块链安全的公司，其创始团队具有丰富的网络安全经验。团队成员曾为谷歌、微软、W3C、中国公安部、腾讯、阿里巴巴、百度等企业和政府机构提供安全能力。他们的核心能力包括安全审计、防御部署和地下黑客趋势跟踪和防御。

修复漏洞后，ATN团队第一时间联系慢雾科技，提供了《ATN抵御黑客攻击报告》（https://atn.io/resource/aareport.pdf），并全力配合慢雾科技进行了严格、全面的安全审计ATN 合约。最后，慢雾科技给出了肯定的安全审计结果，并发布了基于ERC223的ATN合约的安全审计报告。

ATN已启动主链加速计划，将与慢雾等安全机构在合约和节点安全标准、运行环境、风控等方面进行长期战略合作。双方的合作不仅将为即将上线的ATN主链保驾护航，也将为持续构建长期的区块链生态安全做出贡献。

关于慢雾

慢雾科技是一家区块链安全公司，成立于2018年1月。该公司由拥有超过十年网络安全经验的团队创立，成为一支全球性的力量。我们的目标是让区块链生态系统对每个人都尽可能安全。我们现在是一家知名的国际区块链安全公司，曾参与过火币、OKX、Binance、imToken、Crypto.com、Amber Group、Klaytn、EOS、1inch、PancakeSwap、TUSD、Alpaca Finance、MultiChain、 O3Swap等

网址：https://www.slowmist.com推特：https://twitter.com/SlowMist_TeamGithub：https://github.com/slowmist/