編者按:本文來自數字彗星科技,星球日報經授權發布。針對前段時間EOS漏洞問題,本文將進行整體細節的回顧,希望大家提起安全意識,但也不要過度恐慌,正確看待安全問題。一、事件概述6月22日凌晨,EOS官方社區發布消息稱:發現EOS漏洞,用戶抵押投票的代幣在漏洞修復之前都無法贖回。隨后我們根據相關消息對該漏洞進行驗證確認該漏洞確實存在,且在漏洞修復前,通過精心構造的攻擊使得特定用戶資產進行無限期抵押,無法贖回。我們知道EOS采用DPoS共識機制,該機制通過社區投票選舉21個超級節點來維護EOS網絡,為EOS網絡提供算力、帶寬以及存儲支持。用戶投票不需消耗EOS,但EOS會被鎖定。用戶可以隨時申請贖回抵押的EOS,申請贖回后72小時后到賬,同時,投票將被扣減。此次漏洞事件發生在EOS贖回過程中,如果其他用戶抵押EOS給贖回用戶,系統首先將贖回用戶贖回過程中的EOS進行再次抵押。我們已經知道申請贖回的EOS需要72小時才能到賬,如前所訴,通過精心構造的攻擊理論上使得指定用戶資產進行無限期抵押,對用戶造成嚴重危害。二、漏洞攻擊流程1.假設被攻擊用戶擁有0.0005個正在贖回途中EOS。
HALO公布空投細節,快照將于3月3日陸續啟動:2月26日消息,3D 虛擬形象 NFT 項目 HALO OFFICIAL 發文公布空投細節,空投 Token 總量為 1000 萬枚。其中:
HALO NFT 持有者獲得 25%;
HALO Avatar NFT 持有者獲得 25%;
Life Avatar Poap 持有者獲得 10%;
Lifeform Activity Medal 持有者獲得 10%;
Lifeform Points 持有者獲得 20%;
Lifeform Avatar 持有者獲得 5%;
Lifeform Cartoon Avatar 持有者獲得 5%。
此外,質押的 NFT 不包含在快照中。因此,用戶需確保在拍攝快照之前取消質押。快照時間為:3 月 3 日 8 時(除 Lifeform Points 外的其他地址);3 月 5 日 8 時(Lifeform Points 地址)。[2023/2/26 12:30:27]
2.此時攻擊者向贖回用戶抵押0.0001個EOS。
隱私型數字貨幣Zcoin公布未來4年區塊獎勵分配細節:隱私型數字貨幣Zcoin今日公布了未來4年區塊獎勵分配的細節。具體而言,15%(此前為6%)的區塊獎勵將被用作開發資金,35%的區塊獎勵將用于激勵Znodes節點,剩余50%的區塊獎勵將留給礦工。(Finance Magnates)[2020/5/4]
3.交易生效后,我們看到攻擊者的余額沒有發生變化,而贖回用戶正在贖回途中的0.0001個EOS被迫再次進行抵押。
動態 | 藍寶科技公布加密貨幣礦機細節:據Bitcoin.com報道,世界上最大的AMD視頻卡供應商之一藍寶科技(Sapphire Technology)宣布正式進入加密貨幣挖礦硬件領域,將推出一個挖礦設備。其新設備INCA CS-14區塊鏈計算系統具有14個RX 470 GPU,并預裝了Linux操作系統和采礦軟件。預計將提供410 MH / s的散列功率,功耗設置為大約1950瓦。該公司聲稱已經將“超過15年制造最先進的顯卡的技術”納入新加密貨幣挖礦設備的開發中。據早先報道,AMD官網顯示,AMD正與華碩等7家公司合作推出8種不同的礦機,其中包括藍寶科技的SAPPHIRE INCA CS-14。[2018/11/29]
三、漏洞原理解析攻擊流程圖中的攻擊命令如下:cleos--wallet-urlhttp://localhost:6666--urlhttp://mainnet.genereos.io:80systemdelegatebw(attacker)(victim)"0.0001EOS""0.0000EOS"--transfer由于攻擊者在調用命令時加入了--transfer參數,在調用到抵押函數delegatebw時會調用changbw函數,此時transfer為true
當transfer變量為true時,from地址變成被攻擊對象的地址,
接下來被攻擊對象的數據被修改,EOS再次抵押,
四、漏洞緩解方案綜合以上分析,本文建議修改部分業務邏輯緩解和修復該抵押漏洞。1.transfer參數不管是否為true,都應該直接在抵押發起方余額中扣除;2.梳理相關業務邏輯,審查是否存在類似漏洞。五、漏洞分析總結通過以上分析,通過精心構造的攻擊使得特定用戶資產進行無限期抵押,無法贖回。利用緩解方案的措施修補代碼能夠有效緩解和修復該漏洞。
Tags:EOSLIFELIFFORMEOS幣最新消息LifeLine TokenRun For LifeGrow Export Platform
據比特易分析,比特幣自上周末選擇向下跌破大級別三角支撐后,連連下殺,放量跌破7400、7200、6800、6600四大支撐,并且有可能再次下探跌穿6400美元前期低點.
1900/1/1 0:00:00如果沒有公鑰密碼學,加密貨幣就會失敗。公鑰密碼學證明了所有權,并執行了隱私權。不過,雖然與個人電腦革命同時出現在20世紀70年代中期,它最近才得以實現.
1900/1/1 0:00:00據悉,百度最新區塊鏈產品——「度宇宙」,今日10點在官網上線,其APP版將于6月13日上線。「度宇宙」是一個由各種“稀有元素”組成的新世界,這些元素需要通過引力將它們聚集起來.
1900/1/1 0:00:00本文作者:唐劍虹,海巍唐劍虹:比特幣的早期信仰者,小派科技聯合創始人兼COO,南昌虛擬現實研究院副總裁,Vibin聯合創始人兼COO海巍:復旦大學本科,英國華威大學社會研究碩士.
1900/1/1 0:00:00據Bitcoin報道,英國的克雷格城堡醫院戒賭中心,正在治療對加密貨幣上癮的人。該醫院采取的治療方案,借鑒了治療賭博成癮方案中的一些方法.
1900/1/1 0:00:00近日,BTCC通過Twitter宣布,將于下月推出升級版加密貨幣交易平臺,升級后的平臺包括冷存儲和SSL加密功能。BTCC于2011年由李啟元創立,是國內首個比特幣交易所,注冊地位于英國.
1900/1/1 0:00:00