安全公司 Dedaub 發現 Solidity 編譯器存在漏洞，多數已部署合約中的死代碼極大增加 Gas 費成本_STA:STARLNK

2月11日消息，安全公司Dedaub團隊發現以太坊編程語言Solidity編譯器存在漏洞，導致已部署的合約字節碼中包括死代碼，致使部署和操作智能合約時極大地增加了Gas費成本。Dedaub表示，團隊在評估開源二進制分流器Gigahorse時發現了這個錯誤。當庫方法只被合約的構造器調用時，該漏洞就會出現。通過Gigahorse分析，Dedaub發現至少35%合約上存在一些死代碼，其中33%占據其運行的大部分字節碼。這些結果以NFT代理為主導，但其他代理合約也有同樣問題。對于大型合約，該問題可以被忽略，但大多數已部署的合約都是小型合約。Dedain團隊在去年11月就已經發現了這個錯誤，并提醒Solidity團隊確認該問題。

安全公司Unciphered聲稱曾破解硬件錢包Trezor:2月13日消息，針對“OneKey的加密錢包被安全公司被成功破解”相關推文，安全公司Unciphered回應稱，“OneKey已修復該漏洞。我們仍然破解了Trezor和其他硬件錢包。”

Unciphered披露Trezor相關漏洞的視頻發布于2022年8月。截至目前，硬件錢包Trezor未回應該推文。

據此前報道，安全公司Unciphered在YouTube視頻中披露硬件錢包OneKey的漏洞。黑客能夠通過利用該漏洞從OneKey Mini錢包中提取助記詞。Unciphered在與OneKey溝通后，通知其修復該漏洞。Unciphered表示，可以通過高速處理器FPGA利用硬件錢包的CPU和安全元件之間缺乏加密，攔截處理器和保存助記詞的安全元件之間的通信。

OneKey發文稱，在收到通知后已經立即修復漏洞并更新安全補丁，沒有造成任何損失。此外，OneKey向Unciphered支付一筆漏洞賞金。[2023/2/13 12:04:10]

安全公司：EOS用戶參與DMD挖礦被盜10萬美元，或因私鑰失竊所致:針對Diamond.finance用戶被盜10萬USDT的事件，PeckShield安全人員跟進分析認為，該用戶被盜原因和eosio.code權限無關，疑似私鑰被盜。EOS公鏈上存在大量用戶敏感權限被操控的情況，安全意識較為薄弱的用戶在參與合約交互時，向一些合約平臺開放了權限，使得平臺可在用戶不知情的情況轉移用戶資產。截至目前，EOS公鏈上賬戶權限受控制的賬戶高達3,269個，涉及資產18,600個EOS。PeckShield在此預警，用戶參與流動性挖礦應避免使用曾經開放過Owner/Active授權的賬戶，避免資產遭受不必要的損失。[2020/9/7]

安全公司：YFV項目勒索事件根本原因在于沒有做好上線前的代碼審計工作:今日早間，基于以太坊的一DeFi項目YFV發文稱遭到勒索。攻擊者利用staking的合約漏洞，可以任意重置用戶鎖定的YFV。并表示，此次事件可能和不久前的“pool0”事件相關，勒索者極有可能是在“pool0”事件中未取回資金的“憤怒的農民”。

成都鏈安分析稱，合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押，此函數中的 lastStakeTimes“stakeFor”= block.timestamp; 語句會更新用戶地址映射的laseStakeTimes“user”。而用戶取出抵押所用的函數中又存在驗證，要求用戶取出時間必須大于lastStakeTimes“account”+72小時。

綜上所述，惡意用戶可以向正常用戶抵押小額的資金，從而鎖定正常用戶的資金。根據鏈上信息，我們找到了兩筆疑似攻擊的交易，兩筆交易都來自同一地址，且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。[2020/8/25]

Tags：STAREDONEKEYSTARLNKBORED價格onekey和keystone哪個好monkeys幣價格

DOT