昨日,EDU智能合約出現重大漏洞,任意賬戶中的EDUToken可被轉走,這些漏洞造成了來自項目方地址中的30億萬枚EDUToken被偷走,并被陸續轉手在火幣上進行拋售,引發市場進一步恐慌,價格持續走低。
隨后,黑客通過拋售比特幣和期貨做空交易的方式,吸金離場。據區塊律動消息,比特幣價格在23點30分開始暴跌,從7880跌到7400美元,2小時內跌幅達到6%。
根據漫霧區的分析,此次原因是在EDU智能合約中存在一個transferFrom函數,該函數缺少Safemath驗證,可以讓攻擊者從任何一個EDU余額不為0的賬號內向另外一個賬號轉出EDUToken,也可以理解為可以從智能合約里偷幣。
今年以來,多個基于ERC20的智能合約被曝存在安全漏洞,除了已經造成巨大影響的BEC、SMT、BAI等,仍有多個存在安全隱患的智能合約代幣依然在交易。巴比特此前也做過特別報道,詳情請戳BEC、SMT現重大漏洞,這8個智能合約也可能涼涼
行情 | OKEx比特幣及以太坊合約精英賬戶多頭持倉比例均反超空頭:截至今日8:00,OKEx比特幣合約精英賬戶中,多頭平均持倉比例為27.43%,空頭平均持倉比例為17.74%,多頭持倉比例再次超過空頭,多空比例差距拉大。以太坊合約精英賬戶中,多頭平均持倉比例為18.95%,空頭平均持倉比例為16.66%,多頭持倉比例再次超過空頭。當前BTC合約持倉總量約為5.73萬個BTC,持倉量明顯增加;ETH合約持倉總量約為45.43萬個ETH,持倉量明顯增加。[2019/8/22]
雖然事后交易所立刻暫停交易和提幣,項目方立馬升級智能合約,造成的損失和市場恐慌等一系列反應卻不可追回,在程序員小哥背鍋的同時,我們也可以思考頻出的漏洞是否有其深層次的原因?以太坊智能合約是否本身就存在著風險?重要的token資產是否適合建立在ERC20體系基礎之上?
動態 | Least Authority被以太坊Cat Herders選中審計ProgPow 主要是為了檢查它是否符合其聲明和基準:根據先前的公告,Least Authority被以太坊Cat Herders選中審計ProgPow,主要是為了檢查它是否符合其聲明和基準。這個過程完全取決于社區的資金,如果資金不足,團隊可以在沒有基準或進行審計的情況下繼續進行。以太坊核心開發者Martin Swende評論說,目前的以太坊算法Ethash“設計得相當好”,但它也有一些缺陷,現在可以通過ProgPow予以修復。他補充說,ProgPow使Ethash“對GPU更加友好”。 此外,Swende認為“不會生產ProgPow ASIC”;就算生產了,其規模也會非常小。隨著與PoW的開發進行競爭,ASIC生產商也將保持與英特爾和AMD的標準,因為他們也將生產下一代GPU。[2019/3/30]
目前基于以太坊的Token合約風險主要有兩種:
分析 | 以太坊新交易區塊的添加速度又開始回升:上周,以太坊君士坦丁堡和圣彼得堡成功實施硬分叉。現在,新交易區塊被添加到以太坊區塊鏈上的速度又回升了。根據區塊鏈分析網站Etherscan透露,就在以太坊主網接受升級之后的24小時內,日均新增區塊數量已經超過了1500個。以太坊區塊數量激增的主要原因是因為上周四以太坊改進方案1234被激活,該方案設計的目的其實就是為了禁用“難度炸彈“軟件中的一段代碼,而且有效期長達12個月。但是現在,以太坊難度炸彈已經被推遲了,而且炸彈效果似乎也被快速逆轉。根據Etherscan在硬分叉激活后一天的分析報告顯示,以太坊區塊創建的時間已經從19秒減少到了14秒。以太坊區塊鏈分析平臺Alethio發布的報告顯示,從硬分叉激活到現在,并沒發現交易量和智能合約消息調用數量出現大幅波動。[2019/3/9]
一是自己寫的智能合約出現漏洞,被人攻擊。以太坊作為一個記錄DAPP執行結果的區塊鏈,對于基于合約層的智能合約,需要依賴開發者自己來保障其安全邏輯,一旦合約編寫者一時粗心,便可能造成一失足成千古恨的后果。例如18年4月22日BeautyChain出現重大安全漏洞,價值幾乎歸零,BEC憑空蒸發了10億美元,事后證明是程序員忘記做溢出檢查。
動態 | 以太坊未確認交易71508筆:據Etherscan.io數據顯示,當前以太坊未確認交易為71508筆,相較此前筆數有所增加,但網絡依舊嚴重擁堵。[2018/12/21]
二是合約調用的底層合約出問題,間接產生風險。合約層是一臺封裝了可以執行圖靈完備腳本語言的虛擬機,可以通過編寫腳本語言作為智能合約部署到以太坊區塊鏈中。去年,一個叫做“devops199”的開發者觸發了以太坊Parity錢包漏洞,漏洞出在錢包調用的一個library上。因為以太坊的合約調用是把地址當指針使用,每次執行用戶編寫的智能合約都要調用library。“devops199”把底層庫函數破壞的同時相當于把所有合約的指針都破壞了,從而使得所有錢包里的資金被永久凍結。
微博研發副總經理TimYang曾表示,“為什么以太坊比較容易出安全問題?以太坊只是一個記錄DAPP執行結果的區塊鏈,其本身并沒有加密貨幣復式記賬所需的UTXO模型。重要的TOKEN資產本身是需要貨幣級別的安全程度,以太坊目前的設計更適合游戲積分之類的合約運行結果。”他還強調,重要的TOKEN資產不適合構建在ERC20體系基礎之上。
那加密貨幣復式記賬所需的UTXO模型的區塊鏈項目有哪些,在安全性上又有哪些優勢?
比特幣的UTXO模型經過了多年較為穩定的運行和測試,性能和安全性都有較大的優勢。而以太坊的賬戶模型理解起來比較容易,但是需要考慮更多復雜的臨界情況來防止雙花攻擊和重播攻擊。另外做資產交易的量子鏈和比原鏈也采用了UTXO模型。
其中使用擴展UTXO模型BUTXO的比原鏈,把資產作為新的UTXO形式進行交互,不僅支持無限種類的資產,而且擁有了圖靈完備的智能合約。同時杜絕了以太坊帳戶模型所存在的數據溢出,或者各種其它漏洞的出現,兼具靈活性和可控性。
對比以太坊,比原鏈的優勢有三點:
第一,比原鏈天然支持多資產,在比原鏈上的每一筆資產都是一個UTXO,而不是用智能合約來模擬的。據比原鏈開發團隊朱益祺表示,比原鏈交易的設計思路其實更接近比特幣,即一切都基于UTXO。每一筆比原鏈上的資產UTXO都是由圖靈完備的智能合約守護。在比原鏈的設計中賬戶只駐留在本地,唯一上鏈的就是智能合約,而且每一筆交易都會自動生成一個新的智能合約。
第二,比原鏈的發型資產的職能合約是天生自帶的,不像以太坊上都是由開發者編寫的,水平參差不齊的話,則會有安全風險。比原鏈的合約調用是創建智能合約的時候就將調用合約作為子合約加入進來,以后不管調用的合約模版是否更改或出現漏洞,都不會影響所有已經完成的智能合約。
第三,比原鏈的合約調用更安全,調用別的智能合約更像是調用一個鏡像,而不是調用一個底層合約的最新狀態。由于以太坊的合約調用是把地址當指針使用,一旦以太坊的底層庫函數即公用合約調用出錯,所有合約的指針都將被破壞。作為管理成千上萬種資產的公鏈,比原鏈在合約調用的設計中對指針合約的使用進行了規避。比原鏈的合約調用是創建智能合約的時候就將調用合約作為子合約加入進來,以后不管調用的合約模版是否更改或出現漏洞,都不會影響所有已經完成的智能合約。
比原鏈的目標是做資產管理的專用型公鏈,比起近期漏洞頻出的以太坊智能合約,比原鏈有希望在打造世界級的安全區塊鏈平臺的路上走得更遠,同時也需要時間的驗證。
版權聲明:(http://creativecommons.org/licenses/by-nc-sa/3.0/cn/)作者保留權利。文章為作者獨立觀點,不代表巴比特立場。發文時比特幣價格¥48173.42
來源鏈接:www.8btc.com
本文來源于非小號媒體平臺:
巴比特
現已在非小號資訊平臺發布1篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/3626831.html
以太坊ETH漏洞風險安全公鏈
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
上一篇:
「空氣幣」是靠什么火起來的?投資者風險意識才是關鍵
Glassberg曾經是安永和雷曼兄弟的網絡安全高管,也是很多金融及科技行業的顧問。他在本文中指出,加密貨幣投資沒有受到監管,也沒有相應的保險措施,因此任何損失受不到賠償和追回的保護.
1900/1/1 0:00:00暴走時評:韓國政府日前宣布了對21家加密貨幣交易所的檢查結果,雖然許多交易所已完成了短期管理措施和錢包管理措施的實施,但大多數交易所仍然存在許多安全漏洞.
1900/1/1 0:00:00比特大陸于11月7日在西雅圖提起訴訟,控告黑客非法侵入其幣安賬戶,對其造成了至少550萬美元的損失.
1900/1/1 0:00:0005月10日凌晨,MakerDAO公開了新版合約。Zeppelin和PeckShield也各自獨立完成了對其新合約的審計,確定新版本修復了該漏洞.
1900/1/1 0:00:00印度央行已采取措施抑制加密貨幣盧比的交易,并成立了一個小組來探討、研究發行自己的數字貨幣的可能性.
1900/1/1 0:00:00在數字資產行業,安全是永恒的話題。從智能合約到交易所,再到數字錢包,安全事件往往給人們帶來慘痛的代價和痛苦的回憶。然而,大多數沒有經歷過安全事件的人,卻依舊存在僥幸心理.
1900/1/1 0:00:00