区块链安全检测之ATN虚拟币平台漏洞

目前区块链市场越做越大，很多服务都在使用区块链技术，跟上区块链的大潮，在高速

发展的同时，区块链的安全问题也日益严重，2018年上半年ATN区块链平台被爆出高危的区块

链漏洞，我们来看下这个ATN到底是如何产生漏洞，分析及如何修复漏洞的。
ATN区块链平台是全世界第一个区块链技术融入人工智能的一个平台，去中心化，没有任何授

权，客户可以自己使用智能接口来进行与区块链相连接的一个虚拟币平台。该平台使用的是公

有链安全机制，使用的是oracle数据库，可以跨域，跨区的区块链平台，使用石墨烯的最新技

术来实现用户高并发的请求，也算是人工智能领域最强大的区块链服务商，可以为很多的安卓

，IOS，APP用户提供区块链服务。
关于这次漏洞的产生，是被区块链安全中心检测发现，攻击者利用ERC的合约进行伪造恶意代

码函数，对服务器进行攻击，因合约开放自定义的代码，导致攻击者绕过WAF防火墙，直接插

入攻击代码从而绕过权限，导致漏洞的发生。 区块链漏洞的详情 ATN区块链使用的合约是基于erc20以及加密值token算法的基础进行开发的合约，在开发的过

程当中ATN使用了自己开发人员的anth库，为了转币的安全考虑，才使用这套合约，每次虚拟

币转账的时候都会首先确认授权权限，然后才能进行转账功能，当转币为人工智能合约，那么

就会使用随机的token值进行判断，并写入到oracle数据库中，当token唯一时，转币才能成功。

我们来看下合约的代码到底是如何写的：

从上述代码可以看出，转币使用的合约做了详细的安全过滤，防止非法的参数写进来，但是在

远程调用对方身份信息的过程当中，并没有进行安全拦截，导致在转币的过程中可以插入恶意

代码，使用custom_call函数来进行攻击，攻击者远程伪造调用了自己的ATN转币地址，使其他

人转币的时候直接转币到攻击者的账户中去。