據blog.ethereum消息,由于以太坊改進提案被發現重大安全漏洞,原定于在第7080000個區塊上進行的君士坦丁堡硬分叉被推遲。WeekinEthereum創始人EvanVanNess表示,新的硬分叉日期將在周五的下一次核心開發者電話會議期間確定。以太坊核心開發者AfriSchoedon則在Twitter上表示,硬分叉將于下周一舉行。漏洞發生了怎么辦?
關于EIP1283漏洞處理,以太坊官方也通過博客表示,推遲君士坦丁堡硬分叉,即不在第7080000個區塊上分叉,并且發布了相關處理辦法:對于已經升級同步的節點、礦工、交易所,需要在Geth或Parity新版本發布后及時更新版本,新版本預計在博客發布的3~4個小時內發布。具體的方案如下所示:Geth版本:升級到Geth1.8.21;降級至Geth1.8.19;如果想保持在Geth1.8.20,請使用開關'-override.constantinople=9999999'無限期推遲君士坦丁堡分叉;Parity版本:推薦升級到ParityEthereum2.2.7-stable或ParityEthereum2.3.0-beta;不推薦降級至ParityEthereum2.2.4-beta。對于未同步升級的節點、錢包以及代幣持有者,現在不需要進行任何操作。對于合約所有者,現在可以檢查一下合約是否還存在其他潛在的漏洞,但請不用擔心,因為有著漏洞的EIP1283不會被啟用。漏洞是什么?
DeFi借貸協議Alchemix alETH池疑似出現漏洞,該池已暫停抵押借貸:官方消息,DeFi借貸協議?Alchemix alETH池疑似出現漏洞,用戶在有未償還的alETH債務時就可以提出抵押的ETH。目前團隊已停止該池的抵押借貸并展開調查。[2021/6/16 23:42:13]
北京時間今天零點,智能合約審計公司ChainSecurity發布了一份報告,報告指出以太坊君士坦丁堡代碼存在漏洞,該漏洞可能導致“重入攻擊”——攻擊相關合約、修改用戶余額或其他關鍵變量。為什么會產生重入攻擊?ChainSecurity認為,在分叉前一個存儲至少需要5000gas,遠遠超過使用“transfer”或“send”調用合約時發送的2300gas;而在分叉后,一個存儲只需要200gas,攻擊者可以通過調用一些公共函數,更改所需變量。比如攻擊者可以調用攻擊者合約,只需要花費2300gas就可以成功地更改弱勢合約的變量,包括賬戶余額等。當然,攻擊要想成功需要一些條件:必須有一個函數a,在該函數中,“transfer/send”后面緊跟著一個狀態更改操作,這有時是不明顯的;攻擊者必須有一個能夠訪問函數A改變狀態的函數B,B狀態改變會與函數A發生沖突;函數B需要在小于1600gas的情況下執行(2300氣費-700氣話費)。ChainSecurity提醒大家,可以從檢查以下幾個方面避免合約被攻擊:檢查transfer事件后是否有任何操作。檢查這些操作是否改變了存儲狀態,最常見的是通過分配一些存儲變量,檢查哪些變量已被修改,做一個列表。檢查合約中,非管理員可以訪問的任何其他方法是否使用這些變量之一;檢查這些方法本身是否自行改變存儲狀態;檢查是否低于2300gas,同時記住SSTORE操作可能只有200gas。漏洞重演何時休?
BSC生態Uranium Finance出現漏洞導致5000萬美元資金被盜:BSC生態Uranium Finance出現漏洞導致5000萬美元資金被盜。目前,官方發布推特稱,團隊正在與幣安安全團隊聯系。(MyCrypto)[2021/4/28 21:06:38]
這次EIP1283出現的重入攻擊,在以太坊的發展史上曾出現多次,屬于頑疾。“其實這個攻擊方式,在以太坊上早就是赫赫有名了,我不相信以太坊社區沒有考慮到這個問題。”以太坊研究者胡靖宇告訴Odaily星球日報。重入攻擊影響最大是TheDAO合約漏洞事件。當時黑客利用TheDAO合約漏洞,轉移了價值4千多萬美元以太幣。為了奪回資金,以太坊社區決定進行軟分叉與硬分叉,結果社區內部產生分歧,一部分選擇留在原鏈,一部分選擇了進入新的分叉鏈。根據胡靖宇所說,以太坊智能合約為了方便一些邏輯操作,留下了“transfer()和send()”這樣一種調用方式,但也給開發者留下了安全隱患。“但是只要開發者知道有這樣一個安全隱患,在寫代碼的時候多判斷一下邏輯就可以保證安全性了。”至于下周一會不會進行硬分叉升級,胡靖宇表示硬分叉升級具體的時間點應該是未定的,因為官方目前還沒有評估到具體的風險以及制定解決方案。
Liquid Network技術出現漏洞 可致上百萬美元BTC被盜:Summa One聯合創始人James Prestwich發現Blockstream的比特幣側鏈 Liquid Network 中至今仍存在技術漏洞,由于哈希時間鎖不一致,網絡中的重要賬戶會受到技術漏洞影響,可導致上百萬美元BTC被盜。只要3位密鑰持有者中的2位同意轉賬,公司員工即可通過緊急恢復程序進行提幣。Blockstream已經開始尋找新的替代方式并進行開發。據官方表示,過去18個月內,尚未出現用戶賬號被盜跡象。[2020/6/30]
動態 | 去中心化交易協議 0x 出現漏洞,暫無資金損失但合約已被停用:去中心化交易協議 0x 的創始人 Will Warren 今日發布博客稱 0x v2.0 Exchange 合約中出現漏洞,目前團隊已經暫停該合約使用,尚未發現造成財產損失。不過這也意味著當前部署的 0x 合約目前不能處理交易,也不能使用。目前團隊正在檢查其他已經發布的智能合約,確保其他合約并沒有出現同類型漏洞。Will Warren指出,這一漏洞并不會影響ZRX代幣,因此用戶不必擔心出現資產損失。據悉:0X 是一種基于以太坊的開源協議,用于去中心化的交易。 該交易由以太坊智能合約系統執行,允許公開訪問,目前是免費使用,任何DApp都可以連接該合約。[2019/7/13]
文|張雪、盧曉明編輯|盧曉明出品|Odaily星球日報“牛市萬事大吉,只有奇跡出現才能拯救熊市,而加密貨幣貸款就是那曇花一現的奇跡”.
1900/1/1 0:00:00譯者|Moni 是的,Facebook要發幣了。不管他們發的是不是真正意義上的加密貨幣/數字貨幣,這一舉動都已經在業內引發了震動,但是很多人似乎并沒有看穿Facebook這么做的真正目的,而他們.
1900/1/1 0:00:00Let’shopefortheGrail,butproceedwithcaution.BlockVC行業研究團隊聯系人:JamesKuo郵箱:info@blockvc.com感謝您的關注.
1900/1/1 0:00:002018年,這個本被視為區塊鏈爆發的元年,在即將落下帷幕的年關,我們回頭望去,卻發現區塊鏈行業遍地狼藉。在這一年,大家看待區塊鏈技術的觀點出現了巨大分歧,越來越多的人開始懷疑區塊鏈是個偽技術.
1900/1/1 0:00:00編者按:本文來自鏈捕手,作者:巨建華,Odaily星球日報經授權轉載。2018年對于區塊鏈行業是不同尋常的一年:比特幣在年初急速拉升的價格,帶來的財富效應吸引了大量投機者跑步入場,而年底資產價格.
1900/1/1 0:00:00創造一種加密數字貨幣,是一代密碼學怪咖們的不懈追求,區塊鏈,最初只是承載這個使命的技術手段。但隨著這項技術的升級,區塊鏈的使命也在改變——構建安全、可信、去中介的全新商業形態.
1900/1/1 0:00:00