BTC/HKD-0.22%
ETH/HKD-0.35%
LTC/HKD+0.62%
DOT/HKD+0.43%
ADA/HKD-0.1%
SOL/HKD-0.8%
XRP/HKD+0.4%
DOGE/US+0%智能合約是一種旨在以信息化方式傳播、驗證或執行合同的計算機協議。智能合約允許在沒有第三方的情況下進行可信交易,這些交易可追蹤且不可逆轉。智能合約概念于1995年由NickSzabo首次提出。智能合約的目的是提供優于傳統合約的安全方法,并減少與合約相關的其他交易成本。
漏洞概述:
因為以太坊智能合約中是可以調用外部的合約代碼,外部合約可能是攻擊者構造的惡意不安全的合約代碼,當在轉賬操作時執行代碼,迫使攻擊的合約回調包括自身的代碼,和繞過源代碼的限制發生了重入攻擊事件。
發生重入攻擊漏洞有兩個原因:
現貨黃金站上2000美元/盎司,為2022年3月來首次:金色財經報道,行情顯示,現貨黃金站上2000美元/盎司,為2022年3月來首次,較日低走高超30美元。[2023/3/20 13:14:41]
1.?調用了外面不安全的合約代碼
2.?外部合約的函數早于狀態變量的修改
漏洞分析:
看withdraw函數,我們可以看到它接收了一個_amount參數,將其與發送者的balance進行比較,不超過發送者的balance就將這些_amount發送給sender,同時我們注意到這里它用來發送ether的函數是call.value,發送完成后,它才在下面更新了sender的balances,這里就是可重入攻擊的關鍵所在了,因為該函數在發送ether后才更新余額,所以我們可以想辦法讓它卡在call.value這里不斷給我們發送ether,同樣利用的是我們熟悉的fallback函數來實現。
平治信息:擬從通信運營商領域切入元宇宙 已與中國移動等達成合作:金色財經報道,平治信息接受機構調研時表示,公司擬從通信運營商領域切入元宇宙,公司已與中國移動、中國聯通、快手、達闥機器人等達成戰略合作,并在虛擬數字人領域做了重點布局。公司目前已與中國移動通信集團浙江有限公司杭州分公司簽署了《關于虛擬數字人的合作協議》,公司為移動杭州分公司提供虛擬數字人服務,服務內容為“小胖說云”。[2023/3/16 13:07:12]
Web3支付公司C14完成250萬美元種子輪融資:金色財經報道,Web3支付公司C14宣布完成250萬美元種子輪融資,General Catalyst領投,Fin Capital、Cipholio和Istari Ventures等參投。C14可幫助網站和去中心化應用程序(dApp)嵌入數字資產購買功能,為新興市場提供國際化和本地化支付服務,其創始人兼首席執行官Erich Grant曾在Wyre工作。
目前,C14已在美國金融犯罪執法網絡(FinCEN)、加拿大金融交易和報告分析中心(FINTRAC)注冊,并在立陶宛獲得虛擬資產服務提供商資質。(axios)[2023/1/10 11:03:38]
當然,這里還有另外一個關鍵的地方——call.value函數特性,當我們使用call.value()來調用代碼時,執行的代碼會被賦予賬戶所有可用的gas,這樣就能保證我們的fallback函數能被順利執行,對應的,如果我們使用transfer和send函數來發送時,代碼可用的gas僅有2300而已,這點gas可能僅僅只夠捕獲一個event,所以也將無法進行可重入攻擊,因為send本來就是transfer的底層實現,所以他兩性質也差不多。
安東尼·霍普金斯將推出個人NFT系列“永恒”:8月18日消息,安東尼·霍普金斯宣布與Orange Comet合作推出其首個個人NFT系列“永恒”,“永恒”系列的發售將包含3種類別,第一種是包含10個不同原型的1個NFT動畫,第二種是包含1個原型動畫的共10枚限量NFT,第三種是包含10個原型圖像的1000枚NFT。[2022/8/18 12:34:30]
2016年6月以太幣組織TheDAO被攻擊,攻擊者利用兩個代碼漏洞創建子合約提取了360萬個以太幣。接下來我們簡單說一下這個事件
攻擊者利用the?DAO函數智能合約中splitDAO()函數,重復對DAO資產進行重入攻擊,不斷從項目的資產里面分離出DAO資產并轉移到自己的賬戶中
1.?創建錢包,調用splitDAO函數
2.?創建一個分割提案到一個新的錢包地址
3.?等待再調用splitDAO函數
4.?成功獲取了ether
?解決方法:
1.?使用其他轉賬函數
進行以太坊轉賬時發送給外部地址時使用Solidity的內置函數,這將不足以調用另一份合約.
2.?先修改狀態變量
這種方式就是確保狀態變量的修改要早于轉賬操作,即Solidity官方推薦的檢查-生效-交互模式(checks-effects-interactions)。
1.?使用互斥鎖
互斥鎖就是添加一個在代碼執行過程中鎖定合約的狀態變量以防止重入攻擊。
2.?使用OpenZeppelin官方庫
OpenZeppelin官方庫中有一個專門針對重入攻擊的安全合約
??本文作者:權星實驗室團隊
來源:金色財經
Tags:DAOALLTHENFTfacedao幣怎么買入賣出MALL幣Brother Music Platform無聊猿nft交易平臺
原文標題:《Dani''svision》 分析 隨著令人期待的SOLID的推出,Dani代幣生態系統很可能會在短期內大幅增長.
1900/1/1 0:00:00最近Web3突然成為了熱點,傳統科技行業和新興區塊鏈行業的領導者帶著各自對互聯網歷史和未來的不同視角,紛紛參與了這場討論。在具體討論Web3之前,我們先快速回顧一下這個概念是如何演變的.
1900/1/1 0:00:00越南最大的區塊鏈游戲公會Ancient8宣布完成400萬美元的種子輪融資。本輪融資由DragonflyCapital、PanteraCapital和Hashed領投,戰略支持者包括Mechani.
1900/1/1 0:00:00幣安孵化次元空間鏈游AWAKEN上線公測Dimensionalspace次元空間發行的“AWAKEN”是一款3K策略卡牌手游。故事發生在一個名為“創世之山”的地獄世界.
1900/1/1 0:00:00我認為對于一個領域來說,創建一份開放的問題清單將會有很好的指引作用。問題清單也為我們提供了一個向它看齊的基準,并以一覽無余的方式去評估該領域多年來所取得的進展以及現存的問題.
1900/1/1 0:00:00放眼礦機發展歷程,第一家ASIC礦機廠商“蝴蝶礦機”可以說是臭名昭著。歸根結底就是因為其利用眾籌收取客戶定金卻遲遲未如期交貨,被美國聯邦法院冠以“詐騙”并凍結資產,最終不了了之.
1900/1/1 0:00:00
比特幣價格
