安全公司 Dedaub 發現 Solidity 編譯器存在漏洞，多數已部署合約中的死代碼極大增加 Gas 費成本_STA:TOKEN

安全公司Dedaub團隊發現以太坊編程語言Solidity編譯器存在漏洞，導致已部署的合約字節碼中包括死代碼，致使部署和操作智能合約時極大地增加了Gas費成本。Dedaub表示，團隊在評估開源二進制分流器Gigahorse時發現了這個錯誤。當庫方法只被合約的構造器調用時，該漏洞就會出現。

安全公司：黑客正在對MetaMask等主流錢包進行“模態網絡釣魚”攻擊:金色財經報道，安全公司CertiK在社交媒體披露，黑客正在對MetaMask等主流錢包進行“模態網絡釣魚”攻擊，通過將網絡釣魚消息發送到被識別為合法去中心化應用程序 (dApp) 的移動錢包控制非托管錢包的“模態窗口”，以引誘其所有者批準錯誤的交易，用戶可能會認為他或她正在通過MetaMask錢包批準“安全更新”。 CertiK團隊提醒并強調，用戶應該對每一個未知的交易請求都非常謹慎，甚至持懷疑態度——即使是那些被標記為安全升級的請求。[2023/4/14 14:03:02]

通過Gigahorse分析，Dedaub發現至少35%合約上存在一些死代碼，其中33%占據其運行的大部分字節碼。這些結果以NFT代理為主導，但其他代理合約也有同樣問題。對于大型合約，該問題可以被忽略，但大多數已部署的合約都是小型合約。Dedain團隊在去年11月就已經發現了這個錯誤，并提醒Solidity團隊確認該問題。

安全公司：YFV項目勒索事件根本原因在于沒有做好上線前的代碼審計工作:今日早間，基于以太坊的一DeFi項目YFV發文稱遭到勒索。攻擊者利用staking的合約漏洞，可以任意重置用戶鎖定的YFV。并表示，此次事件可能和不久前的“pool0”事件相關，勒索者極有可能是在“pool0”事件中未取回資金的“憤怒的農民”。

成都鏈安分析稱，合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押，此函數中的 lastStakeTimes“stakeFor”= block.timestamp; 語句會更新用戶地址映射的laseStakeTimes“user”。而用戶取出抵押所用的函數中又存在驗證，要求用戶取出時間必須大于lastStakeTimes“account”+72小時。

綜上所述，惡意用戶可以向正常用戶抵押小額的資金，從而鎖定正常用戶的資金。根據鏈上信息，我們找到了兩筆疑似攻擊的交易，兩筆交易都來自同一地址，且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。[2020/8/25]

聲音 | 安全公司：主流交易所普遍存在高危Token 占比超14%:據“PeckShield安全評級”公開數據顯示：通過對市值靠前的350個Token進行安全審計發現，目前主流交易所普遍存在一些評級為高危的Token，平均占比超過14%。若該交易所上線所審計350個Token中的大多數，其高危Token量很可能超過40個，其中不乏有諸多市值上億的Token，一旦相關漏洞遭黑客攻擊，將給交易所和用戶帶來巨大的資產安全威脅。[2018/8/20]

Tags：STAKENTOKTOKENbitstamp交易平臺盈利需要交稅么TokenDeskImtoken最新下載imtoken蘋果下載教程

比特幣交易