據blog.ethereum消息,由于以太坊改進提案被發現重大安全漏洞,原定于在第7080000個區塊上進行的君士坦丁堡硬分叉被推遲。WeekinEthereum創始人EvanVanNess表示,新的硬分叉日期將在周五的下一次核心開發者電話會議期間確定。以太坊核心開發者AfriSchoedon則在Twitter上表示,硬分叉將于下周一舉行。漏洞發生了怎么辦?
關于EIP1283漏洞處理,以太坊官方也通過博客表示,推遲君士坦丁堡硬分叉,即不在第7080000個區塊上分叉,并且發布了相關處理辦法:對于已經升級同步的節點、礦工、交易所,需要在Geth或Parity新版本發布后及時更新版本,新版本預計在博客發布的3~4個小時內發布。具體的方案如下所示:Geth版本:升級到Geth1.8.21;降級至Geth1.8.19;如果想保持在Geth1.8.20,請使用開關'-override.constantinople=9999999'無限期推遲君士坦丁堡分叉;Parity版本:推薦升級到ParityEthereum2.2.7-stable或ParityEthereum2.3.0-beta;不推薦降級至ParityEthereum2.2.4-beta。對于未同步升級的節點、錢包以及代幣持有者,現在不需要進行任何操作。對于合約所有者,現在可以檢查一下合約是否還存在其他潛在的漏洞,但請不用擔心,因為有著漏洞的EIP1283不會被啟用。漏洞是什么?
BAYC鑄造型游戲Dookey Dash被爆出現漏洞:金色財經報道,據軟件工程師 Cygaar 在社交媒體發文稱,“無聊猿” BAYC 最新鑄造游戲 Dookey Dash 存在漏洞。 Cygaar 在其發布的一段視頻中顯示玩家可以通過(不再他們周圍)的各種類型障礙物并依然記錄有效分數。Cygaar 補充稱,這個漏洞能讓玩家完全無需繞過風扇和流經下水道的管道等障礙物就能累計分數,目前他已經把這個問題報告給了安全工程師 @samwcyo 和 Yuga Labs 安全團隊,但到目前為止 Yuga Labs 和 BAYC 官方尚未就此問題給予說明,但已有玩家已經打出了超過 176257 高分值。[2023/1/26 11:30:50]
北京時間今天零點,智能合約審計公司ChainSecurity發布了一份報告,報告指出以太坊君士坦丁堡代碼存在漏洞,該漏洞可能導致“重入攻擊”——攻擊相關合約、修改用戶余額或其他關鍵變量。為什么會產生重入攻擊?ChainSecurity認為,在分叉前一個存儲至少需要5000gas,遠遠超過使用“transfer”或“send”調用合約時發送的2300gas;而在分叉后,一個存儲只需要200gas,攻擊者可以通過調用一些公共函數,更改所需變量。比如攻擊者可以調用攻擊者合約,只需要花費2300gas就可以成功地更改弱勢合約的變量,包括賬戶余額等。當然,攻擊要想成功需要一些條件:必須有一個函數a,在該函數中,“transfer/send”后面緊跟著一個狀態更改操作,這有時是不明顯的;攻擊者必須有一個能夠訪問函數A改變狀態的函數B,B狀態改變會與函數A發生沖突;函數B需要在小于1600gas的情況下執行(2300氣費-700氣話費)。ChainSecurity提醒大家,可以從檢查以下幾個方面避免合約被攻擊:檢查transfer事件后是否有任何操作。檢查這些操作是否改變了存儲狀態,最常見的是通過分配一些存儲變量,檢查哪些變量已被修改,做一個列表。檢查合約中,非管理員可以訪問的任何其他方法是否使用這些變量之一;檢查這些方法本身是否自行改變存儲狀態;檢查是否低于2300gas,同時記住SSTORE操作可能只有200gas。漏洞重演何時休?
POAP智能合約出現漏洞,已暫停POAP至以太坊主網的轉移:12月16日,據官方消息,POAP官方在智能合約中發現了一個漏洞,但并沒有造成資產損失,目前已暫停POAP至以太坊主網的轉移。該修復程序需要審核,并且由于假期原因,它要到1月初才會部署。[2021/12/16 7:44:27]
這次EIP1283出現的重入攻擊,在以太坊的發展史上曾出現多次,屬于頑疾。“其實這個攻擊方式,在以太坊上早就是赫赫有名了,我不相信以太坊社區沒有考慮到這個問題。”以太坊研究者胡靖宇告訴Odaily星球日報。重入攻擊影響最大是TheDAO合約漏洞事件。當時黑客利用TheDAO合約漏洞,轉移了價值4千多萬美元以太幣。為了奪回資金,以太坊社區決定進行軟分叉與硬分叉,結果社區內部產生分歧,一部分選擇留在原鏈,一部分選擇了進入新的分叉鏈。根據胡靖宇所說,以太坊智能合約為了方便一些邏輯操作,留下了“transfer()和send()”這樣一種調用方式,但也給開發者留下了安全隱患。“但是只要開發者知道有這樣一個安全隱患,在寫代碼的時候多判斷一下邏輯就可以保證安全性了。”至于下周一會不會進行硬分叉升級,胡靖宇表示硬分叉升級具體的時間點應該是未定的,因為官方目前還沒有評估到具體的風險以及制定解決方案。
Hegic代碼出現漏洞導致用戶資金被永久鎖定:金色財經報道,建立在以太坊上的新期權交易協議Hegic剛剛上線主網。4月23日,在其啟動智能合約后僅幾小時,其代碼中的一個錯誤就鎖定了該平臺智能合約中價值28,000美元的用戶資金。這些資金大部分在DAI穩定幣中,其余在ETH中。該漏洞將用戶資金鎖定在過期的期權合約中,使其永久無法訪問。Hegic團隊已承諾將用自己的錢償還所有受影響的用戶。引起社區憤怒的是,該團隊最初稱該漏洞是拼寫錯誤的結果。兩天后,社區以及審查其代碼的獨立團隊表示,該漏洞是由可以很容易避免的錯誤引起的。[2020/4/27]
聲音 | MakerDAO中國區負責人:Maker系統沒有出現漏洞,所有資金安全:12月9日,一名獨立軟件開發人員披露MakerDAO存在安全漏洞可導致價值3億美元抵押ETH被清空。對此,MakerDAO中國區負責人潘超表示,MakerDAO并未出現安全漏洞,所有資金安全,原文作者指出的問題是所有權益系統都存在的治理挑戰,作為Maker的開發團隊,該治理挑戰是已知可控的,并且通過有計劃的一系列工具箱權衡解決。潘超指出,DAO是一個復雜系統,最重要的是權衡,單線思維下的設計是不穩定的,現行的Maker系統相對是最安全的。[2019/12/10]
Tags:以太坊ETHRITTHE國內以太坊交易平臺togetherbnb游戲解說Veritaseumtogetherbnb手游下載女鬼
編者按:本文來自區塊律動BlockBeats,作者0x2,Odaily星球日報經授權轉載。黑客預先投入百萬人民幣,將自己控制的節點成功選舉為EOS中21個出塊節點,再利用節點的便利,將價值600.
1900/1/1 0:00:00繼與比特幣核心開發團隊、吳忌寒的口水戰之后,澳本聰CSW又迎來了新的沖突對象。2月12日,維基解密轉載澳本聰長文,回嗆其關于比特幣為親政府立場的說法不過是為了其籌資商業項目,且逃避法庭訴訟的借口.
1900/1/1 0:00:002019年2月14日,美國最大的商業銀行摩根大通宣布發行加密貨幣JPMCoin,主要用來實現跨銀行和跨境即時支付,但只有其大客戶才能使用.
1900/1/1 0:00:00編者按:本文來自:鏈塔智庫,作者:姚前,中國人民銀行數字貨幣研究所所長,odaily星球日報經授權轉載。如何實現整體經濟效益和社會福利的最大化,是法定數字貨幣研發的核心命題.
1900/1/1 0:00:00作者|秦曉峰編輯|盧曉明據臺灣中時電子報消息,宏達電宣布今日在全臺HTC專賣店開賣區塊鏈手機Exodus1,這也是該款區塊鏈手機在中國地區的首次開售,售價21900新臺幣,對標官網標價.
1900/1/1 0:00:00編者按:近日,“以太坊君士坦丁堡分叉”成為區塊鏈領域熱門話題,而作為以太坊的計劃替代方案,真正的“硬菜”——ETH2.0也將逐漸揭開面目.
1900/1/1 0:00:00