比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

出現漏洞,君士坦丁堡硬分叉被推遲_RIT

Author:

Time:1900/1/1 0:00:00

據blog.ethereum消息,由于以太坊改進提案被發現重大安全漏洞,原定于在第7080000個區塊上進行的君士坦丁堡硬分叉被推遲。WeekinEthereum創始人EvanVanNess表示,新的硬分叉日期將在周五的下一次核心開發者電話會議期間確定。以太坊核心開發者AfriSchoedon則在Twitter上表示,硬分叉將于下周一舉行。漏洞發生了怎么辦?

關于EIP1283漏洞處理,以太坊官方也通過博客表示,推遲君士坦丁堡硬分叉,即不在第7080000個區塊上分叉,并且發布了相關處理辦法:對于已經升級同步的節點、礦工、交易所,需要在Geth或Parity新版本發布后及時更新版本,新版本預計在博客發布的3~4個小時內發布。具體的方案如下所示:Geth版本:升級到Geth1.8.21;降級至Geth1.8.19;如果想保持在Geth1.8.20,請使用開關'-override.constantinople=9999999'無限期推遲君士坦丁堡分叉;Parity版本:推薦升級到ParityEthereum2.2.7-stable或ParityEthereum2.3.0-beta;不推薦降級至ParityEthereum2.2.4-beta。對于未同步升級的節點、錢包以及代幣持有者,現在不需要進行任何操作。對于合約所有者,現在可以檢查一下合約是否還存在其他潛在的漏洞,但請不用擔心,因為有著漏洞的EIP1283不會被啟用。漏洞是什么?

POAP智能合約出現漏洞,已暫停POAP至以太坊主網的轉移:12月16日,據官方消息,POAP官方在智能合約中發現了一個漏洞,但并沒有造成資產損失,目前已暫停POAP至以太坊主網的轉移。該修復程序需要審核,并且由于假期原因,它要到1月初才會部署。[2021/12/16 7:44:27]

北京時間今天零點,智能合約審計公司ChainSecurity發布了一份報告,報告指出以太坊君士坦丁堡代碼存在漏洞,該漏洞可能導致“重入攻擊”——攻擊相關合約、修改用戶余額或其他關鍵變量。為什么會產生重入攻擊?ChainSecurity認為,在分叉前一個存儲至少需要5000gas,遠遠超過使用“transfer”或“send”調用合約時發送的2300gas;而在分叉后,一個存儲只需要200gas,攻擊者可以通過調用一些公共函數,更改所需變量。比如攻擊者可以調用攻擊者合約,只需要花費2300gas就可以成功地更改弱勢合約的變量,包括賬戶余額等。當然,攻擊要想成功需要一些條件:必須有一個函數a,在該函數中,“transfer/send”后面緊跟著一個狀態更改操作,這有時是不明顯的;攻擊者必須有一個能夠訪問函數A改變狀態的函數B,B狀態改變會與函數A發生沖突;函數B需要在小于1600gas的情況下執行(2300氣費-700氣話費)。ChainSecurity提醒大家,可以從檢查以下幾個方面避免合約被攻擊:檢查transfer事件后是否有任何操作。檢查這些操作是否改變了存儲狀態,最常見的是通過分配一些存儲變量,檢查哪些變量已被修改,做一個列表。檢查合約中,非管理員可以訪問的任何其他方法是否使用這些變量之一;檢查這些方法本身是否自行改變存儲狀態;檢查是否低于2300gas,同時記住SSTORE操作可能只有200gas。漏洞重演何時休?

NFT藝術家Pak的Merge NFT項目合約出現漏洞,一NFT被同時賣出兩次:12月9日消息,NFT藝術家Pak在推特上證實,其NFT項目Merge出現了合約漏洞,NFT交易市場Nifty Gateway正在進行修復,并表示,如果問題嚴重將重新鑄造藏品,重新鑄造后將成為史上遭遇bug的藝術品,同時也會在元數據中體現這一經歷。查詢發現,Merge的合約出現了同一NFT同時被賣出兩次被2個地址擁有的情況。(PANews)[2021/12/10 7:29:24]

這次EIP1283出現的重入攻擊,在以太坊的發展史上曾出現多次,屬于頑疾。“其實這個攻擊方式,在以太坊上早就是赫赫有名了,我不相信以太坊社區沒有考慮到這個問題。”以太坊研究者胡靖宇告訴Odaily星球日報。重入攻擊影響最大是TheDAO合約漏洞事件。當時黑客利用TheDAO合約漏洞,轉移了價值4千多萬美元以太幣。為了奪回資金,以太坊社區決定進行軟分叉與硬分叉,結果社區內部產生分歧,一部分選擇留在原鏈,一部分選擇了進入新的分叉鏈。根據胡靖宇所說,以太坊智能合約為了方便一些邏輯操作,留下了“transfer()和send()”這樣一種調用方式,但也給開發者留下了安全隱患。“但是只要開發者知道有這樣一個安全隱患,在寫代碼的時候多判斷一下邏輯就可以保證安全性了。”至于下周一會不會進行硬分叉升級,胡靖宇表示硬分叉升級具體的時間點應該是未定的,因為官方目前還沒有評估到具體的風險以及制定解決方案。

以太坊2.0信標鏈“隨機性”協議證明出現漏洞:金色財經報道,ZenGo的研究人員已正確披露了在Diogenes協議證明中發現的漏洞。該證明旨在為以太坊2.0隨機信標鏈的可驗證延遲函數(VDF)提供原始熵。根據ZenGo博客文章,Diogenes背后的團隊Ligero Inc.正在重新起草該協議的證明以迭代該漏洞。ZenGo研究人員Omer Shlomovits稱,VDF是構建真正安全的隨機信標鏈所必需的。[2020/9/2]

動態 | Dash官方發布警示:My Dash Wallet出現漏洞,請用戶暫停使用:7月12日,Dash官方推特發布警告:錢包My Dash Wallet出現漏洞。直到另行通知之前請不要使用該錢包。(該漏洞系通過外部加載JS腳本來發送私鑰到遠程服務器)據此前消息,安全公司昨日發布預警稱,近日有用戶反饋稱價值數百萬人民幣的DASH幣遭惡意竊取。[2019/7/12]

Tags:以太坊ETHRITTHE以太坊幣最新價格今日行情2022.10.12eth價格今日行情分析Knight War SpiritsBitcoin and Ethereum Standard Token

芝麻開門交易所下載
谷燕西: Bakkt對星巴克的倒貼追求值得嗎?_穩定幣

當初剛到美國留學時,認真考慮的一個專業是婚姻與家庭咨詢。后來發現這個職業的收入很難保住自己的家庭,就改學專業了。但此方面的興趣一直存在。當有朋友有此方面的問題,我也幫他們出出主意.

1900/1/1 0:00:00
核心開發者出走后,誰來協調以太坊硬分叉升級?_比特幣

以太坊社區開發者正在尋找一位新的專家來幫助協調硬分叉升級。上周五的以太坊核心開發者電話會議上,與會人員討論了誰來替代AfriSchoedon的工作,作為以太坊硬分叉升級的協調者.

1900/1/1 0:00:00
星巴克再次宣布與Bakkt合作,Bakkt好事將近?_STA

3月4日,據TheBlock報道,星巴克在即將推出的加密資產交易平臺Bakkt中持有“重要股權”.

1900/1/1 0:00:00
一月、二月區塊鏈安全事件盤點_區塊鏈

導語:在整理近兩個月發生的安全事件時,筆者不禁想起互聯網的早期,也曾走過安全事件頻發的階段。即使到現在,互聯網行業的安全事故也沒有完全杜絕。其實,任何新生的事物,都會存在安全隱患.

1900/1/1 0:00:00
ETF批準遙遙無期:CBOE撤回比特幣ETF的申請_COIN

作者|秦曉峰編輯|盧曉明1月23日,美國證券交易委員會(SEC)宣布,芝加哥期權交易所已經撤回了Vaneck和Solidx公司的比特幣ETF申請.

1900/1/1 0:00:00
「xx 即挖礦」為什么失敗?因為金錢本來就不是萬能的_TOKEN

編者按:本文來自:橙皮書,作者:橙皮書,星球日報經授權轉發。在“一切向錢看”的時代,很容易忘記一件事情,那就是,人類的歷史遠早于錢的歷史,黃金還不是錢的時候,人就已經是人了.

1900/1/1 0:00:00
ads