編者按:本文轉載自“區塊律動BlockBeats”,作者:,36氪經授權轉載。
昨日中午,黑客利用以太坊ERC-20智能合約中BatchOverFlow漏洞中數據溢出的漏洞攻擊蔡文勝旗下美圖合作的公司美鏈BEC的智能合約,成功地向兩個地址轉出了天量級別的BEC代幣,導致市場上海量BEC被拋售,該數字貨幣價值幾近歸零,給BEC市場交易帶來了毀滅性打擊。
區塊鏈安全公司PeckShield目前已經發現除了BECToken之外,還有超過12多個項目Token的智能合約中存在BatchOverFlow整數溢出漏洞,黑客可以利用這一漏洞轉賬生成「不存在」的虛擬貨幣并進行交易獲利。
被黑客攻擊的BEC交易量數小時內形成價格「瀑布」,幣值歸零。目前BEC官方團隊已經暫停一切交易和轉賬,將對Okex交易所的交易回滾到黑客充幣之前。
Radiant Capital已通過ARB分配提案,將約233萬枚ARB分配給dLP鎖倉用戶:5月18日消息,多鏈借貸協議Radiant Capital已通過RFP-18:Radiant DAO財庫ARB分配戰略應用提案,贊成率89%,第一次快照已在5月18日2:00完成,第二次快照時間將在接下來的30-60天內宣布,符合空投條件的dLP須在第一次快照之后和第二次快照之前在Arbitrum和BNBChain上鎖定6-12個月。其中Arbitrum基金會授予Radiant DAO財庫的3,348,026枚ARB代幣的40%將被空投給對應符合條件的dLP鎖倉者,30%的ARB將分配給Arbitrum上的dLP鎖倉者,30%作為戰略儲備,供未來DAO使用。[2023/5/18 15:10:06]
黑客繞過驗證后生成“李鬼”幣
Spark Protocol已集成DAI/USD等Chainlink喂價:5月10日消息,Spark Protocol宣布已集成DAI/USD、ETH/USD、stETH/USD Chainlink喂價,以幫助加速其借貸平臺Spark Lend的發展。
Spark Protocol利用Chainlink去中心化預言機網絡加強其預言機基礎設施,并率先在MakerDAO生態系統中集成Chainlink喂價。[2023/5/10 14:55:11]
PeckShield團隊今日凌晨發布安全報告,提到黑客利用in-the-wild手段抓取以太坊ERC-20智能合約中的「BatchOverFlow」這個整數溢出漏洞來進行攻擊。
利用這個漏洞,黑客可以通過轉賬的手段生成合約中不存在的、巨量的Token并將其轉入正常賬戶,賬戶中收到的Token可以正常地轉入交易所進行交易,與真的Token無差別。
Coinbase:英國可以成為“Web3經濟的創新中心”:4月18日消息,Coinbase在4月16日的一篇博客文章中強調,英國可以“加速”其加密貨幣行業,并成為“Web3經濟的創新中心”,作為其愿景的一部分,該公司正在英國和歐洲開展業務。Coinbase贊揚了該地區正在進行的不斷進步的監管努力,并就英國如何“鞏固其作為Web3中心的地位”提出9項建議。[2023/4/18 14:10:23]
PeckShield的安全預警報告中提到了該漏洞的具體細節,這個漏洞出現在BEC智能合約的batchTransfer函數當中,代碼如下圖所示。
大家請注意第257行,cnt和_value的計算結果生成了局部變量。第二個參數,即_value,,可以是一個任意的256字節整數,就比如是:0x8000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000。
比特幣交易量中位數達2年低點:金色財經報道,據Glassnode數據,比特幣交易量中位數(7日MA)剛剛達到276.12美元的2年低點。[2023/3/6 12:43:56]
通過將兩個_receivers注入到batchTranser(),再加上這個極其大的_value,我們就能使得量溢出,將其amount的量變成0。通過將量回歸到0,攻擊者就可以繞過258行到259行的合理性檢測,使得261行的差值變得不再相關。
最后,出現了一個非常有趣的結果:你們可以看262行到265行,兩個receriver的余額上增加了超級大的_value,而這一切都不會花費攻擊者錢包里哪怕一毛錢!
隨后PeckShield團隊利用自動化系統掃遍了以太坊智能合約并對它們進行分析。結果發現,有超過12個ERC-20智能合約都存在BatchOverFlow安全隱患。
為了驗證該漏洞存在的真實性,PeckShield團隊對其中一個智能協議進行了相似的攻擊。
PeckShield團隊還對一個未在交易所上線的以太坊寵物游戲CryptoBots進行了BatchOverFlow安全性攻擊,并成功地在該協議上「生成」了57,896,044,618,658,100,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000枚代幣CBTB。
總幣數已經超過合約規定的2萬枚CBTB。
CryptoBots這款游戲目前正在以太坊上進行交易,但通過數據查看后發現該游戲的實際游玩人數并不高,只有寥寥幾十人在玩。
PeckShield創始人蔣旭憲教授表示,「理論上可以把這個游戲中所有的道具都買下來。」
除了BEC和CryptoBots兩個智能合約之外,還有十余個智能合約存在同樣的漏洞,其中也包括已經在交易所上進行交易幣種。
出于安全考慮,目前PeckShield已經與相關項目團隊進行了聯系,暫時不能曝光這批項目的名稱。
區塊鏈安全難道只靠回滾?
BEC智能合約出現這個漏洞之后,黑客在2小時后開始往OKEx的地址充幣進行交易,因為市場上出現大量未知來源的Token,市場上出現恐慌心理,OKEx交易所上的持幣者開始拋售BECToken,導致BEC價格持續下跌,幣值幾乎歸零。
下圖中我們可以看到黑客先是試探性地往OKEx中轉入100萬的BECToken,黑客發現成功轉入賣出后,又分2次轉入了1000萬的BECToken,發現兩次都成功,便轉入了1億枚BECToken。
但這1億枚BECToken轉入后,OKEx已經發現問題并停止了BEC的交易。
按照轉入記錄,預計黑客已經賣出了最少1100萬枚BEC,折合昨日售價約1887萬人民幣。
下午4點12分,OKEx發布聲明中止了相關交易。BEC團隊也公告表示將與OKEx交易所合作回滾到黑客轉入Token之前的數據以保護投資者的權益。
PeckShield團隊認為,因為以太坊區塊鏈上所謂「代碼即一切」的原則精神的存在,導致目前沒有有效的安全防護手段來修復這些問題,而且因為Token交易背后牽扯著巨大的利益,是無法在多個交易所進行同步防護的。
因為中心化交易所只是對Token進行記賬式的交易,項目團隊與交易所配合之后回滾是可以一定程度上保護投資者利益的,但是如果在去中心化交易所進行交易那么投資者的損失將無法挽回,同時,利用交易所反應的時間差,黑客也可以實現在多個交易所套利。
知乎作者爬蟲認為該漏洞很容易解決,只需要對計算結果進行safeMath的安全驗證就可以,同時表示區塊鏈智能合約代碼需要測試、需要review,必要時可以請專門做代碼審計的公司來進行測試。
前有OKEx回滾期貨交易,后有OKEx回滾BEC交易,為什么區塊鏈上的安全問題總是要靠回滾來解決?如果沒法從根本上解決漏洞,那么受害的不僅僅是投資者,虛擬貨幣生態中的所有參與者都將遭受巨量損失。
4月24日報道 一直以來,風投和企業家都不斷建議聯邦監管機構,至少保留幾個虛擬貨幣,不要讓它們被歸類為證券,一旦歸為證券,就意味著更嚴格的監管.
1900/1/1 0:00:00點擊上方“CSDN”,選擇“置頂公眾號”關鍵時刻,第一時間送達!據外媒Motherboard近日報道,去年鬧得轟轟烈烈的加密貨幣IOTA漏洞事件再掀波瀾.
1900/1/1 0:00:00當你稍微了解數字貨幣之后,你會發現,像比特幣這種數字貨幣有幾千種,聽著都頭大,不用著急放寬心,雖然現在的幣已經達到了幾千種,其實只有以下四類: 1、幣類 它主要起到一個交換媒介的作用.
1900/1/1 0:00:00六月即將過去 小編為大家梳理了 本月朋友圈十大熱傳謠言 來看看,你中招過嗎? 朋友圈十大謠言 1 熱鴨梨水能抗癌 謠言類別:失實報道 欺騙指數:★★★★危害指數:★★★★ 謠言內容 北京陸軍總醫.
1900/1/1 0:00:00德國面包在世界范圍內聞名,許多國家的面包根據德國食譜明確標示。教科文組織甚至將德國面包文化視為世界遺產.
1900/1/1 0:00:00來源:央視財經 去年9月4日,央行發布的文件明確叫停了代幣發行融資——也就是ICO禁令。這種融資主體通過代幣的違規發售、流通,向投資者籌集比特幣、以太幣等所謂“虛擬貨幣”的行為,在國內被明令禁止.
1900/1/1 0:00:00