繼USDT發生“假充值”漏洞后,近日,慢霧區再曝以太坊代幣“假充值”漏洞。據慢霧區今日消息,以太坊代幣“假充值”漏洞目前影響廣泛,相關中心化交易所、中心化錢包、代幣合約等均受影響。單代幣合約,不完全統計就有3619份存在“假充值”漏洞風險,其中不乏知名代幣。并強調當前漏洞已發生真實攻擊,督促相關項目方應盡快自查。7月9日,慢霧區曾發布以太坊代幣“假充值”漏洞攻擊預警。據其披露的細節,在用戶進行轉賬時,一些代幣合約的transfer函數對轉賬發起人(msg.sender)的余額檢查用的是if判斷方式,而這種溫和的判斷方式在transfer這類敏感函數場景中并非一種嚴謹的編碼方式,這種不嚴謹的編碼方式是一種安全缺陷,這種安全缺陷可能會導致特殊場景下的安全問題。攻擊者可以利用存在該缺陷的代幣合約向中心化交易所、錢包等服務平臺發起充值操作,若交易所僅判斷如TxReceiptStatus是success,則就有可能以為充幣成功,產生“假充值”“假交易”。對于修復方案,慢霧區認為,已有漏洞的代幣最好的方式是重發,然后新舊代幣做好“映射”。此外,交易所、平臺方、代幣合約方均應承擔起安全責任。對于交易所來說,應在判斷交易事務success之外,還應二次判斷充值錢包地址的balance是否準確的增加;對于平臺方來說,在對接新上線的代幣合約之前,應該做好嚴格的安全審計;對于代幣合約方來說,應該嚴格執行最佳安全實踐,并請第三方職業安全審計機構完成嚴謹完備的安全審計。漏洞細節發出后,截至發稿前,已有IOST官方表示其合作交易所均無“假充值”風險。回顧6月份發生的USDT“假充值”漏洞,其漏洞邏輯也并無二致,攻擊者同樣是利?交易所對USDT交易轉賬的判斷邏輯缺陷,惡意構造虛假轉賬盜取交易所代幣。智能合約本質是一段運行在區塊鏈網絡中的代碼,它完成用戶所賦予的業務邏輯。隨著當前智能合約漏洞出現的頻率愈加頻繁,其安全問題也逐漸引起公眾重視。據RatingToken統計數據,當前區塊鏈世界中每日新增智能合約從4W-18W不等,而在白帽匯安全研究院的《區塊鏈產業安全分析報告》中,由于智能合約所導致的安全問題已經造成了12.4億美元的損失,占到了總損失的43.3%。2016年6月,以1.5億美元成為當時最大金額ICO的TheDAO,因其智能合約出現“遞歸調用漏洞”遭黑客攻擊,導致價值6000萬美元以太幣被盜。該漏洞具體來說,即在調用方使用splitDAO函數調用DAO資產時,該漏洞將允許該函數非法的再次調用自己,然后不斷重復這個過程。這樣的遞歸調用可以使得攻擊者的DAO資產在被清零之前,數十次的從TheDAO的資產池里重復分離出來理應被清零的攻擊者的DAO資產,這是以太坊歷史上的一次大型安全丑聞,也直接導致了硬分叉。而在2018年,新的漏洞也在出現,以SMT、BEC、EDU、BAI為代表的代幣智能合約漏洞都在轉賬邏輯中產生了“整數溢出漏洞”,該漏洞可導致代幣可以無限增發或任意轉賬。以美鏈BEC為例,黑客利用以太坊ERC-20智能合約中BatchOverFlow漏洞中的數據溢出的漏洞,攻擊了美鏈BEC的智能合約,通過轉賬的手段生成合約中不存在的、巨量的Token并將其轉入正常賬戶,并且賬戶中收到的Token可以正常地轉入交易所進行交易,與真的Token并無差別。另外,新加坡國立大學的LoiLuu等人也曾發現“交易順序依賴漏洞”,他們指出,在智能合約執行的過程中,由于發起方對函數調用的順序不同,可能會產生不同的輸出結果,形成業務邏輯漏洞。針對當前智能合約產生的漏洞,區塊風豹實驗室技術負責人張文君向星球日報表示,如以危險級別為標準,當前合約漏洞可分為高危、中危、低危漏洞。具體來說,在高危漏洞上,合約代碼中可能存在整數的上下溢出,攻擊者可用于盜取資金、惡意轉賬等;在中危漏洞上,交易金額無法篡改,但在調用外部合約上存在漏洞,攻擊者可用于雙花攻擊、惡意轉賬;低危漏洞中,則體現在合約撰寫不規范,部署的時候導致更多費用的問題,給調用方造成經濟損失,存在優化的空間。
BTC突破36100美元關口 日內漲幅為3.25%:火幣全球站數據顯示,BTC短線上漲,突破36100美元關口,現報36102.03美元,日內漲幅達到3.25%,行情波動較大,請做好風險控制。[2021/6/29 0:15:28]
當前加密貨幣總市值約為3610.96億美元:據金色財經數據顯示,全球加密貨幣總市值約為3610.96億美元。加密貨幣市場中占比排名第一的是BTC,市值約合2388.7億美元,當前市值占比為66.15%;
ETH排名第二,市值約合456.21億美元,當前市值占比為12.63%;
XRP排名第三,市值約合110.39億美元,當前市值占比為3.06%。[2020/10/25]
動態 | BTC24小時內訪問量為53612位居第一:據TokenClub數據顯示,目前BTC在幣熱度榜上排名第一,24小時內訪問量為53612;HT排名第二,24小時內訪問量為35298;ETH排名第三,24小時內訪問量為33948;OKB排名第四,24小時內訪問量為31650;GXC排名第五,24小時內訪問量為25436。[2019/3/21]
動態 | 當前比特幣全球節點10361個 中國占比3.97%:據bitnodes數據,當前比特幣全球節點總數為10361個,數量排名前五的國家為:美國2552個(占比24.63%)、德國1962個(18.94%)、法國678個(6.54%)、荷蘭486個(4.69%)、中國411個(3.97%)。[2019/1/13]
Tags:DAOBTCTOKENKENDOGEDAO價格BTCPAY價格imtoken下載安裝iosOoki Token
韓國生物技術公司Macrogen周一宣布,與大數據公司Bigster合作,采用區塊鏈技術建立醫療平臺。該平臺是通過區塊鏈技術,幫助各方安全地存儲和交換基因組數據和其他類型的信息.
1900/1/1 0:00:00Odaily星球日報獲悉,采用區塊鏈技術的民宿分享社區PopulStay潮箱獲得比特大陸、九五資本、漢晨資本、洞察資本等機構1500萬人民幣投資.
1900/1/1 0:00:00本文來自:infoQ,作者:季宙棟,星球日報經授權轉發,有刪減。為什么我們需要自主主權身份?各國政府和商業公司正在共享海量的信息,從商品的瀏覽習慣、白天工作的地理位置、晚上睡覺的地方甚至到我們與.
1900/1/1 0:00:00本文來自鏈聞ChainNews,譯者詹涓,作者KyleForkey,AmentumCapital創始合伙人,Odaily星球日報經授權轉載.
1900/1/1 0:00:00頭條 外媒:比特大陸預計9月提交招股書,融資規模或為30億美元彭博社報道,有知情人士稱比特大陸IPO融資規模或為30億美元.
1900/1/1 0:00:00據福布斯近日報道,盡管比特幣的價格在2018年下跌,但是比特幣的哈希率仍呈持續增長趨勢。今年6月份時,比特幣的哈希率已超40hash/s.
1900/1/1 0:00:00