編者按:本文來自區塊律動BlockBeats,作者:0x2,星球日報經授權轉載。又是安全漏洞,又和交易所有關。今天,區塊鏈安全團隊PeckShield曝光了名為tradeTrap的智能合約漏洞,該漏洞可讓黑客隨意操控幣價、隨意增發Token,該漏洞已影響十余種可在交易所交易的Token。截至文章發布,涉及的交易所已成功修復該漏洞。這個名叫tradeTrap的智能合約漏洞波及700多個ERC-20Token,其中也包括AI、SUB、NTO、TGT、FC、TBT等Token在內的數十個已經在交易所交易的Token,涉及幣安、火幣、OKEx、HitBTC、ZB、EtherDelta、IDEX等26家交易所。該漏洞是今年發現的影響用戶數量最大、涉及幣種最多、涉及交易所最多的安全漏洞,據悉該漏洞可能有意或無意被開發人員預留在智能合約中,若用意良好不會造成影響,但是如果被黑客濫用,可以輕松地實現非法套利和操控價格的安全事件發生。史上影響范圍最大的智能合約漏洞細節曝光
Ripple前開發者關系總監:目前正在開發XRP Ledger的智能合約:金色財經報道,Ripple的前開發者關系總監Matt Hamilton透露了一些關于XRP Ledger即將創新的細節。Hamilton特別表示,XRP Ledger很快將被采用,目前正在開發智能合約。[2022/12/22 22:01:49]
區塊律動BlockBeats從PeckShield團隊處了解到,tradeTrap漏洞包括多個已知的安全問題:黑客可以通過mintToken()函數來隨意增加Token余額黑客可利用setPrices()buy()sell()三個函數來操縱Token價格,并且進行不公平的套利行為BuyTrap和SellTrap,可讓購買者和出售者成功付款后無法收到Token或者賣出后無法獲得收入等。在存在tradeTrap漏洞的智能合約中,PeckShield發現一個名為mintToken()的函數,該函數可被黑客用于隨意向任一以太坊地址增發Token余額。一般來講,該函數只能被合約擁有者控制使用,用于合約Token的增發。該函數主要用于Token預售階段,項目方可利用該函數向私募投資者發行相應的Token,在預售結束后理應停止使用該函數。但是實際上,該函數在預售結束后依舊可以隨意使用。如果項目方并未曝光增發計劃而濫用該函數,可以向任一以太坊地址增發項目Token。憑空增發的Token數量,將會擾亂該Token的市場交易,給投資者帶去損失。以存在該漏洞的Substratum為例,該項目的Token總量在各個平臺上存在巨大差距,有惡意增發的嫌疑。EtherScan中查詢SUBToken合約地址中有5.92億Token,非小號、Coinmarketcap等數據平臺顯示SUBToken發行總量為4.72億枚。區塊律動BlockBeats也發現Substratum的白皮書中Token發行量也有過多次變更,在2017年8月的白皮書中,其發行數量為6億Token,在12月白皮書中,發行數量為2.26億。在與PeckShield團隊溝通后發現Substratum確實調用過mintToken()函數,做過一次5.8億枚Token的增發,說明該接口的漏洞確實有效可用。目前該團隊已經Medium發表聲明表示僅在測試網絡使用過該函數,并未在交易后進行過增發。另外一個安全問題存在于價格操縱上。在出現這類問題的智能合約中,有setPrice()、buy()、sell()三個函數,該函數只能由智能合約擁有者進行控制,可以規定Token的購買和銷售價格。公眾可以直接使用buy()、sell()函數來進行Token的買賣行為。仔細閱讀合約代碼就會發現,在該合約中Token的價格是由合約的所有人來進行控制的,但是市場中流通Token的購買和銷售價格其實應該由市場來決定,該漏洞讓黑客有可乘之機,能夠操縱價格套利。在受到此漏洞影響的智能合約中,用戶是可以通過智能合約的buyPrice和sellPrice與項目方進行交易的,比如EOS的眾籌就是這種可以允許用戶與合約進行交易,與此同時EOS又可以在交易所進行交易。但是智能合約中的buyPrice和sellPrice數值并不能與市場進行及時更新,在更新過程中產生的合約價格與市場價格的差距,就形成了套利空間。在某些情況下,心懷不軌的交易所可以利用該漏洞來低價買入Token,然后充幣到交易所后再按照市場高價賣出,形成交易所自己進行的套利,這實際上是違背商業道德的行為。目前該漏洞影響了INT、SUB、SWFTC等的Token,這些Token正在OKEx、火幣、HitBTC、IDEX、EtherDelta等交易所進行交易。交易所已經修復tradeTrap漏洞,用戶可安全交易
Gavin Wood:WebAssembly是智能合約的未來:金色財經報道,波卡創始人Gavin Wood在2021年共識大會上發表講話時表示,EVM對Polkadot區塊鏈系統提供支持非常重要,至少在可預見的將來。他認為WebAssembly是智能合約的未來,但“傳統” EVM現在就在眼前。據悉,WebAssembly是一種軟件格式,可以在網絡上使用,并且可以輕松地與多種軟件語言一起使用。它是由大型網絡公司構建的,并且可以在所有主要的瀏覽器上運行。[2021/5/26 22:44:19]
因為之前360在EOS漏洞曝光后的公關行為給市場造成了巨大的影響,導致大量投資人因為信息溝通不暢而造成資產損失,PeckShield團隊決定不在漏洞發現的第一時間將漏洞向公眾曝光,而是與交易所進行溝通確認和修復后再報告漏洞詳情,保證漏洞通報流程的合規。創始人蔣旭憲告訴區塊律動BlockBeats,「我們不希望漏洞第一時間曝光會給市場帶來負面影響,畢竟tradeTrap漏洞涉及多個正在交易所交易的Token,隨意地曝光可能會給市場帶去恐慌,給廣大投資者造成不必要的損失。」目前幣安、火幣、OKEx、OKCoinKR、CoinEgg、Kucoin、Allcoin、HitBTC、Bitbns、ZB、OTCBTC、CoinBene、COSS、Etherdelta、ForkDelta、IDEX、YEX、Tidex、RadarRelay、Yobit、WazirX、CoinExchange、CoinSpot、Bluetrade、CEX、LiveCoin等26家交易所均以確認漏洞,幣安等交易所已與SUB項目方確認漏洞無重大影響,用戶可以放心交易。但是我們不禁要問下面這個問題:為何總是等到安全團隊出馬才能修復漏洞?自從4月份開始有安全團隊曝光區塊鏈安全漏洞以來,都是安全團隊率先通報漏洞,然后涉事的交易所、項目方才跟進的,總是慢一步。區塊律動BlockBeats無數次地在安全漏洞發生后向涉事方發出質問,尤其是交易所,我們是否做好了審核工作?所謂的上幣審核是否只是一個形式流程?而最近多家交易所更是隨意上幣,完全不走投票上幣的流程。OKEx上幣了一個沒有任何是實質信息的BEC、火幣上了玉紅的純概念社區幣XMX、幣安上線涉嫌誤導消費者的QuarkChain,投資者看到的是媒體撲天蓋地的宣傳和潛在的投資機會,但區塊律動BlockBeats看到的卻是利益關聯、內幕交易,這種「走關系」的行為不僅毫無安全性可言,更是為區塊鏈安全事件埋下了「伏筆」。以上面提到的set/buy/sellPrice漏洞為例,交易所是完全有機會利用這個合約漏洞來低價買入Token,隨后在市場高漲的時候賣出,實現套利,或者利用低成本Token來操縱幣價,以此獲得利潤。但是為了避免這種事情敗露,交易所的充幣地址會定期更換,導致Token在流向交易所后就失去了蹤跡。對于調查員來說,交易所是目前整個區塊鏈生態系統中最大的黑洞,所有的去中心化、透明手段在經過中心化交易所這一手之后,都將變得無法追蹤,使區塊鏈本身失去了意義。交易所目前面對安全問題的處理方法是遇到一個,處理一個,對于未來可能出現的安全問題,不采取任何預防措施,也不會在問題發生時及時通知用戶來止損,對于已經出現問題的Token,也沒有任何有效的補救措施。比如最近發生的EDU合約漏洞,火幣網的做法僅僅是應項目方要求修復漏洞后重新上幣交易而已,受損的投資者,只能看著自己的資產余額下降。中心化的交易所應該承擔安全問題為投資者帶來的經濟損失,雖然虛擬貨幣為高風險的投資項目,但承擔上幣審核和交易安全的是交易所,保證交易安全和資金安全是中心化的交易所義不容辭的責任。雖然區塊律動BlockBeats對過度宣傳的陳偉星不感冒,但還是希望他的「透明計劃」能有效地地推進下去,是時候管管交易所了。
Bicc與泛融科技宣布就智能合約審計達成合作:據官方消息,Bicc與北京泛融科技宣布,雙方在智能合約審計方面達成合作,泛融科技將作為審計服務提供方對Bicc上線的第三方智能合約進行安全、性能等多方面審計,幫助Bicc對合約安全審計把關,Bicc會將泛融科技的合約審計結果納入上線項目是否優質的考量標準。
Bicc總部位于新加坡,是新一代數字資產與數字生態交易平臺,幫助更多區塊鏈項目發展生態規模,協助區塊鏈項目與Dapps落地,近期在Defi通證交易領域也積極跟進。北京泛融科技是工信部可信區塊鏈推進計劃副理事長單位,工信部賽迪研究院評選區塊鏈百強企業第11位,擔任工信部可信區塊鏈“溯源組”“供應鏈金融組”副組長,擁有充足的技術儲備與完善的技術測試能力。[2020/9/19]
Cardano創始人回應BM的質疑:Cardano不是DPoS 智能合約和本地資產將在今年推出:8月1日,網友@crypto_spaced發推稱Cardano是DPoS,且EOS創始人Daniel Larimer(BM)在其很早前就稱Cardano是DPoS。Cardano創始人Charles Hoskinson回復稱:“我們不是DPoS。Ouroboros是一種全新的協議。”“BM說謊了,他還說我們的協議不起作用。他稱這是一件800磅重、擋不住子彈的防彈背心。我很抱歉,不管你信不信他,他說謊了,他把我們的協議說成DPoS是大錯特錯。”8月3日,BM回復Hoskinson稱:“你的協議不適用于貨幣以外的應用程序,對于大多數DeFi而言,確認等待時間太長,并且完全不適用于大多數用例。”Hoskinson對此表示:“智能合約和本地資產將在今年推出,我們的延遲比以太坊的更低。占主導地位的DeFi平臺hydra將把它帶到次秒級。引用中本聰的話:對不起,我沒有時間向你解釋。”[2020/8/3]
動態 | Cosmos啟動適用于CosmosSDK的WASM智能合約模組:跨鏈項目Cosmos宣布啟動適用于CosmosSDK的WASM智能合約模組,這意味著,使用包括Rust在內的多種不同編程語言編寫的軟件也可以在該區塊鏈上安全運行,比如說 Rust 開發人員可使用 Rust 語言編寫智能合約,然后上傳到任何包含CosmWasm模塊的Cosmos SDK的鏈上無縫集成,即使是開發基于Rust的自定義應用程序邏輯,也可使用經過主網驗證的Cosmos-SDK模塊和BPoS Tendermint共識算法。同時,開發者能夠在交易中上傳代碼而不是重新啟動鏈,從而可以更快地部署新功能,而僅當需要更改核心邏輯時Cosmos Hub升級過程才是必須的。CosmWasm模塊包括成熟構建和測試環境,并且得益于Rust的原生編程功能而帶有集成開發環境(IDE)。由于CosmWasm的智能合約環境是圖靈完備的,這意味著任何可在以太坊中實現的邏輯,都可以在 Cosmos SDK 中執行,而無需修改底層區塊鏈。[2019/12/12]
Tags:TOKENTOKETOKKENMyTokenIOTF TokenZILLADOGE TOKENSmell Token
編者按:本文來自巴比特,星球日報經授權轉載。作者:ChrisDixon,編譯:夕雨,文章來源:https://medium.com/@cdixon/why-decentralization-ma.
1900/1/1 0:00:00幣安又“高調”了一回,這次不是辟謠,是搞個大新聞。5月31日下午,在何一組織的擁有500人的幣安媒體交流群里,幣安LabsCEOElla在幣安Labs溝通會上宣布了幣安的三大動作:號召發起CGI.
1900/1/1 0:00:00頭條 V神對Zcash的ZK-SNARK技術提出質疑Zcash正式實施硬分叉升級后,以太坊創始人V神針對其ZK-SNARK技術提出了一個問題:如果有人破解了ZK-SNARK方案.
1900/1/1 0:00:00只用了短短十年時間,加密貨幣就在金融領域里占到了一席之地。雖然各種監管對這個新興行業不斷“打擊”導致相當一部分加密貨幣失敗了,而且整體市值也出現過多次大幅波動,但人們對其未來前景依然充滿信心.
1900/1/1 0:00:00頭條 新華社:有專家建議中國監管部門重新評估數字貨幣及區塊鏈發展戰略新華社經濟分析師王乃水表示,從美國經驗看,越是擔心的地方就越應該讓其公開化、陽光化,并制定針對性較強的監管策略.
1900/1/1 0:00:002008年全球金融危機、希臘債務危機、以及越來越多國家經濟體需要龐大的資金援助,都讓人們對壟斷發行貨幣的中央銀行產生了質疑.
1900/1/1 0:00:00