去年被美國政府拘捕的前 Amazon 安全工程師 Shakeeb Ahmed,曾於成功透過操控智能合約的漏洞,從兩個加密貨幣交易所盜取 1,200 萬美元。上星期正式被判處三年監禁,同時沒收所有詐騙得來的金錢,成為首宗因濫用智能合約被定罪的個案。 隨著區塊鏈科技興起,去中心化金融(DeFi)成為一種新興的金融技術,這種技術可以擺脫傳統金融機構對貨幣、金融產品的監管,而且交易的透明度高,交易速度亦較傳統銀行快,所以發展潛力極大。 想知最新科技新聞?立即免費訂閱! 由於相關的交易不受監管,借貸亦不需要有資產抵押或當事人背景審查,所以容易發生騙案,而智能合約(smart contract)便是用於減低詐騙風險的手段之一,以貸款為例,一旦借款人無法履行合約內容,例如支付利息或還款,智能合約可自動取消之前的交易,某程度上可保障貸款人的安全。 不過,由於智能合約都是新興技術,所以並非所有人都能完全熟悉其操作,並察覺到是否有漏洞存在,因而讓黑客有機可乘。過往便有不少針對智能合約發動的攻擊,當中閃電貸(flash loan)攻擊就是熱門手段,Shakeeb 犯下的其中一宗個案,便透過濫用 Nirvana Finance 加密貨幣交易所的智能合約漏洞賺錢。 該智能合約的設計原理是,當平台發現 ANA 的購買量增加時,價格便會提升,但…
Search Results: 智能合約 (8)
加密貨幣「比特幣」引起大眾的關注,相信很多人也理解什麼是區塊鏈技術了。雖然比特幣的功能有限,但憑藉其區塊鏈的優勢,已經發展成為可以交換和存儲價值的可信系統。 「以太坊」就是一個執行智能合約的分散式平台 但是,如果你想訂立一項經濟協議或未來的交易呢?如何利用分散記錄?「以太坊」(Ethereum)就是使用了區塊鏈 2.0 技術來創建「智能合約」,透過編寫代碼,使雙方達成協議而不需要中間人,並形成一個執行智能合約的分散式平台。 比特幣不能記錄一份「合約」 以太坊為智能合約提供了動力。舉個例子,A 君和 B 君打賭曼城會否再贏得來屆英超冠軍,注碼 10 個比特幣。假如 A 君和 B 君都互相不信任,他們將不得不使用可信的第三方作為託管代理。換句話說,他們每個人都必須向代理商提供這筆款項,代理商負責分發獎金。在這種情況下,即使中間人使用比特幣,比特幣區塊鏈也無法記錄這個合約。 以太坊就是有約束力「合約」 以太坊就提供了一個「智能」解決方案,讓A君和B君雙方同意下使用一些基本代碼,把條款記錄下來,然後放在以太坊的區塊鏈上,令到協議變得具有約束力。這就是一個「合約」,因為 A 君和…
不少網站都會使用 WordPress 平台製作及管理網站,但有雲端服務供應商就發現,近來兩個有關連的黑客組織 Clearfake 及 Clickfix 已成功入侵 6000 個 WordPress 帳戶,並在網站的 HTML 碼中偷偷加入惡意功能,只要有人訪問網站,就會彈出虛假的錯誤及修復訊息建議,誘導網民安裝資訊盜竊器。雖然需要網民手動執行多個步驟,未必容易成功,但專家亦強調網站管理員必須小心提防中招。 想知最新科技新聞?立即免費訂閱! WordPress 一直是黑客的熱門攻擊對象,因為使用其服務的企業或個人用家極多,而憑著擁有大量功能插件,WordPress 亦成為最多人使用的網站管理平台之一。根據官方最新公布的數字,全球約有 4.78 億個網站都是使用其平台建立及管理,在所有網站中佔 43.5%,有如此龐大的用戶群及影響力,難怪會成為黑客頭號攻擊目標,過往就有不少網絡攻擊事件發生,當中以盜取管理員身份憑證、編寫帶有惡意功能的插件,以及濫用平台或插件的零日或已知漏洞佔最多數。…
Web3 是下一代互聯網而創造的術語,現時網絡已從以內容頁面為主的面貌,轉變為以社交媒體為主軸的世界。現時,去中心化的互聯網模式,正以 Web3 的概念作討論。有研究人員就新興技術面臨的最普遍威脅預計,社交工程攻擊(Social Engineering Attack)或主導 Web3 及 元宇宙(metaverse)的世界。 轉變成 Web3 的其中一個因素是元宇宙的盛行——一個 3D 環境和虛擬世界,能在個人或工作上,促進社交聯繫。用戶在元宇宙中的 ID,也可能會與加密貨幣錢包、NFT 和其他各種智能合約互連。隨著技術供應商致力於實行以上概念,Cisco Talos 的網絡安全研究人員提出了他們對 Web3 和元宇宙將面臨的潛在威脅的看法。…
網絡世界近年出現了一種叫 DAO(Decentralized Autonomous Organization)的產物,中文名為「分布式自治組織」。什麼是 DAO?要了解這個東西,首先要知道什麼是公司,其有幾個特點:第一,公司是一個虛構的法人,獨立於其所有者,有自己的獨立身份,可以永久存在。公司本身具備擁有財產、僱用人員、簽訂貸款和合同的權利,而且可以起訴,同時也可以被起訴。第二,擁有者對於公司是有限制責任的,這是一個偉大發明,投資者最大的損失就是自己的本金,可避免破產風險。第三,公司擁有權與管理權是分開的,投資者不需要成為日常管理的一部分。這種角色和職責分工,是公司一個重要特徵,持有者可參與項目決策。 安理國際律師事務所(Allen & Overy)於 2016 年對 DAO 有一個很好的總結—— DAO 是一個電腦程式,運行在點對點網絡上,程式包含管治和決策規則。DAO 可以被編程為自主操作,而毋須人工參與,程式可自動直接控制資金和實時自我控制。從法律角度看,DAO 明顯既不是公司,也不屬任何其他類型的現有法律人格,它不設註冊辦事處,也沒有實際的營業地或註冊地,沒有股東或經理。 DAO 的最重要一環,就是治理型代幣(Governance Tokens),治理型代幣是開發人員創建的代幣,代幣持有者幫助及有權塑造 DAO…
「重賞之下必有勇夫」這句說話可謂世界通行,有黑客組織早前就在俄羅斯一個地下討論區,以 11.5 萬美元獎金,邀請有才之士提供針對加密貨幣 (cryptocurrency) 及攻擊相關技術的可行方法,包括挖礦工具、智能合約及非同質化代幣 (NFT) 等等。比賽將於 9 月 1 日結束,不過主辦方現時已收到不少「學術」研究。 集思廣益是其中一個搵出漏洞的最佳方法,白帽黑客界亦有採用這種方式,當中以 HackerOne 賞金獵人 (bug bounty hunter) 平台最有名氣,旗下擁有約 60 萬會員,成員更來自全球 170 個地區。上年其中一個會員…
加密貨幣市場近月鬧得熱哄哄,幣價如坐過山車,有人瞓身炒幣,也有人氣男歌手姜濤的支持者,以偶像及其所屬的男子組合 Mirror 之名,註冊加密貨幣「Keung To」幣(又名姜濤幣)及「Mirror」幣。加密貨幣交易平台 CoinUnited.io 共同創辦人暨軟件公司 RedSo 合夥人李思聰接受本網查詢時表示,基於加密貨幣的開源特性,「原則上任何人都可以自行創建一種加密貨幣!」 加密貨幣主要分成區塊鏈平台原生幣及代幣(Token)兩大類,其中原生幣的例子包括來自以太坊(Ethereum)的以太幣(ETH)、建基於幣安鏈(Binance Smart Chain,BSC)的幣安幣(BNB)等,至於姜濤幣及 Mirror 幣等均屬於代幣。李思聰續指,最廣為人認識的比特幣由於本身沒有牽涉智能合約的概念,技術上無法生出其他代幣,因此代幣只能夠透過以太坊、幣安鏈之類的區塊鏈平台創建出來。 創建代幣的流程也不如想像中複雜。首先,開發者需要向區塊鏈平台購入若干平台原生幣,並以之存放於相關的加密幣錢包之中,之後便可以透過 Remix 之類的智能合約編輯器編寫智能合約(即註冊代幣),「(開發者)可以在一些 Open-source(開源)平台尋找相關的代碼,再將之 copy & paste…
上一期講過「以太坊」(Ethereum)的智能合約是如何運作,在區塊鏈技術上確是一個重大突破。憑藉區塊鏈 2.0 技術擁有的「智能合約」功能(這一點是比特幣做不到的),以太坊像是個大規模分散式電腦,可以執行程序。所以有時也被稱為以太坊虛擬機(Ethereum Virtual Machine或稱 EVM)。 以太坊的特點 無論是簡單的合約,或是衍生工具般的複雜合約,技術上來說都可以在以太坊區塊鏈平台上執行。當要運行分散式應用程序(decentralized applications 或稱 dapps)時,區塊鏈用戶必須支付以太幣(貨幣符號:ETH)。應用程序愈是複雜,運算處理就需要愈長的時間,成本也會是愈昂貴。 以太坊是一大突破 為甚麼說以太坊在區塊鏈技術上是一大突破呢?(一)以太坊是分散式的,跟比特幣一樣,沒有中心點的攻擊;(二)可以去除中間人(如果說:比特幣可以幫助用戶避開銀行,以太坊就可以繞過像 Facebook、亞馬遜或其他的中間人平台);(三)以太坊提供了一個區塊鏈基礎平台,programmer 可以使用 EVM 來專注開發自身的 dapps,而不需要從頭開始構建自身的區塊鏈,省卻大量功夫,並加快了推出市場的時間。 前景仍是樂觀 目前以太坊仍像是一台非常緩慢的分散式電腦。每個節點處理每單交易需要一段時間:以太坊每秒處理約…