距君士坦丁堡升級僅剩兩周，以太坊再曝新「漏洞」_以太坊:Biscuit Farm Finance

原定于2月27日進行的君士坦丁堡硬分叉被曝再出新「漏洞」，是否會繼續延遲分叉呢？

原文標題：《以太坊被曝再出新「漏洞」？》

據trustnodes消息，距離以太坊君士坦丁堡硬分叉還有兩周時間，以太坊被曝出再次發現新「漏洞」。

以太坊基金會(EF)的開發人員JasonCarver表示，一個名為Create2的新功能可以允許開發人員替換自毀的智能合約，從而更改規則，存在盜幣風險。

Create2是通過EIP1014引入的新功能，被稱為「SkinnyCREATE2」，旨在通過允許「確定性部署」來更好地促進以太坊上的脫鏈交易，在部署過程中，它允許開發人員更改代碼并重新部署到同一地址。）

Bounce Finance更新產品功能：優化賬戶系統、NFT的固定價格拍賣等:4月10日消息，去中心化拍賣平臺Bounce Finance發布四月路線圖，并更新了一系列產品功能，包括優化賬戶系統、NFT 的固定價格拍賣、真實世界的收藏品拍賣。

據悉，Bounce 是一個融合了流動性挖礦、去中心化治理和質押機制的去中心化拍賣平臺。Bounce Finance 于 2021 年 3 月 19 日完成由 Coinbase Ventures 領投的融資，參投方包括Hashed、丹華資本、Blockchain Capital、SNZ Holding、Pantera Capital、Fundamental Labs。[2023/4/10 13:54:05]

Carver說:

Weave DB完成90萬美元種子輪融資，Permanent Ventures領投:1月18日消息，基于智能合約的去中心化數據庫Weave DB宣布完成90萬美元的種子輪融資，Permanent Ventures領投，IOSG Ventures、Mask Network、Arweave、Hansa、Next Web Capital、CMTD、Formless Capital和Gitcoin的聯合創始人Scott Moore參投。

WeaveDB通過智能合約上類似文檔數據庫Firestore的No SQLDB為Web3用戶和開發人員帶來類似Web2的用戶體驗。用戶無需使用加密錢包登錄、無需支付汽油費。開發人員可通過WeaveDB構建去中心化的Twitter、新的GitHub。[2023/1/18 11:18:13]

在君士坦丁堡之前，你可以構建一個無害的合約，一個交易可能有兩種結果：合約產生，交易代幣；合約自毀，浪費一些Gas。然而在君士坦丁堡之后，選項現在可以變成了：合約產生，交易代幣；合約自毀，浪費一些Gas；合約替換，所有已被合約批準的ERC20代幣可能會被盜…在君士坦丁堡之前，合約自毀風險性并不大，因為自毀的合約只能消失。現在它可以帶著代碼返回再次創建，這些代碼可以轉移所有已批準的所有代幣。

FTX現任CEO：FTX在SBF統治期間未對錢包的私鑰進行加密:金色財經報道，FTX現任首席執行官John Ray在向美國眾議院金融服務委員會準備的證詞中表示，FTX之前在SBF統治期間沒有對加密錢包的私鑰進行加密，導致“數億美元”容易受到盜竊或其他惡意活動的攻擊。并且他表示自己已采取措施保護價值超過10億美元的數字資產。

非托管錢包提供商Casa的首席執行官Nick Neuman稱，“FTX存儲未加密的私鑰將允許任何具有內部系統訪問權限的員工，或任何能夠獲得系統訪問權限的外部參與者，都可以輕而易舉的移動或竊取客戶資金。”

根據安全公司Halborn和PeckShield的估計，在11月，屬于FTX的交易錢包似乎被黑客入侵，估計損失價值3至4億美元。[2022/12/14 21:43:24]

EF的另一名開發人員MartinHolstSwende表示:

廣東能源局聯合通信管理局全面整治“挖礦”:金色財經報道，6月13日至19日全國節能宣傳周，2022年廣東省節能宣傳周來臨之際，廣東省能源局、廣東省通信管理局聯合開展全面整治虛擬貨幣“挖礦”活動。廣東省能源局、廣東省通信管理局表示，將加大力度，將虛擬貨幣“挖礦”活動整治工作進行到底，堅決維護互聯網健康安全秩序，推動經濟社會高質量發展。

據悉，廣東省能源局、廣東省通信管理局聯合印制了全面整治虛擬貨幣“挖礦”活動的宣傳海報，并通過“一圖讀懂”揭露了虛擬貨幣“挖礦”的本質及其危害。尤為值得注意的是，虛擬貨幣“挖礦”活動已被列入《產業結構調整指導目錄》（2019年本）淘汰類，屬“落后生產工藝裝備”范疇。虛擬貨幣“挖礦”活動違反《中華人民共和國民法典》《中華人民共和國循環經濟促進法(2018修正)》《中華人民共和國節約能源法》等法律法規。[2022/6/16 4:32:07]

如果有人驗證了來源，他就應該注意到Selfdestruct(沒有適當的不活躍期)，并避免與之交互。

正在進行以太坊1x升級工作的AlexeyAkhunov說：

我剛剛得出的結論是，EOA帳戶回收與臨時的重放保護(將EOA的nonce重置為0)相結合，將使CREATE2進一步擴展到EOA帳戶，使EOA賬戶面臨更大風險……也許CREATE2應該被修改為永遠不允許重復nonces，類似于其他的重放保護方案，比如將新創建的契約的nonce分配給TOTAL_TXS，這樣至少可以消除超出預期功能的連鎖效應。

在區塊鏈硬分叉之時會存在重放攻擊的風險，攻擊者在其中一條鏈上發起的交易，去到另一條鏈上重新廣播，可能也會得到確認，這就是「重放攻擊」。「重放保護」是分叉后在兩條鏈之間加了一重保護，比如在A鏈上進行一筆交易，那么B鏈上重復的交易會被判為無效。

MartinHolstSwende上周在Twitter上進行了一項調查，有多少人會意識到君士坦丁堡硬分叉后代碼更改，結果表明，76%的人并不會意識到這個問題。這也意味著，除非是技術性很強的開發者，非開發人員可能知道這種自毀技巧的機會可能很小。

不過，擺在開發者面前的一個問題是，這些具有自毀功能的智能合約可能會誘使盜幣犯罪，他們必須考慮將其全部刪除、修改；即使他們想保持原樣，也要教育用戶，讓人們知道某些智能合約不是一成不變的，而是可以隨意更改的，他們的錢可能會被盜。

只是，用戶教育的成本會很高。Carver說：「有很多方法可以避免進行‘社會攻擊’，但大多數都需要用戶教育，這無疑會落后于君士坦丁堡自身的升級。」

君士坦丁堡硬分叉是否會因為上述原因而推遲？Parity開發者AfriSchoedon表示并不會推遲。ChainSecurity首席運營官MatthiasEgli則表示，這不是一個「安全漏洞」，而是「一個極端案例」，一旦變更生效，以太坊的開發人員應該警惕。他補充說，在EIP1283之外的其他四個EIP最初設定包含在君士坦丁堡之內，在2月27日的硬分叉之前會繼續接受審計師的審計。

目前以太坊難度炸彈已經爆炸，etherchain數據顯示，以太坊出塊時間為20.4秒，三周后，將會到達30-40秒；日內挖礦收益也從20000個降至13000個ETH，預計未來三周將再次下降2000-3000個ETH。

本文來源于非小號媒體平臺：

Odaily星球日報

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3627136.html

以太坊ETH漏洞風險安全

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

下一篇：

2019年，區塊鏈行業還會好嗎，會發生哪些變化？

Tags：以太坊NCEENTTAL以太坊硬幣Biscuit Farm FinanceShopaymentTotal Crypto Market Cap Token

USDT