比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

輸入這串數字,你也能在這12種數字貨幣上獲利千萬_以太坊

Author:

Time:1900/1/1 0:00:00

編者按:本文轉載自“區塊律動BlockBeats”,作者:,36氪經授權轉載。

昨日中午,黑客利用以太坊ERC-20智能合約中BatchOverFlow漏洞中數據溢出的漏洞攻擊蔡文勝旗下美圖合作的公司美鏈BEC的智能合約,成功地向兩個地址轉出了天量級別的BEC代幣,導致市場上海量BEC被拋售,該數字貨幣價值幾近歸零,給BEC市場交易帶來了毀滅性打擊。

區塊鏈安全公司PeckShield目前已經發現除了BECToken之外,還有超過12多個項目Token的智能合約中存在BatchOverFlow整數溢出漏洞,黑客可以利用這一漏洞轉賬生成「不存在」的虛擬貨幣并進行交易獲利。

被黑客攻擊的BEC交易量數小時內形成價格「瀑布」,幣值歸零。目前BEC官方團隊已經暫停一切交易和轉賬,將對Okex交易所的交易回滾到黑客充幣之前。

近7天有28084.82枚BTC流出交易所錢包:金色財經報道,數據顯示,近24小時有95.04枚BTC流出交易所錢包,近7天有28084.82枚BTC流出交易所錢包,近30天有48668.42枚BTC流出交易所錢包。截至發稿時,交易所錢包余額合計為1,833,013.39枚BTC。[2023/8/28 13:00:10]

黑客繞過驗證后生成“李鬼”幣

PeckShield團隊今日凌晨發布安全報告,提到黑客利用in-the-wild手段抓取以太坊ERC-20智能合約中的「BatchOverFlow」這個整數溢出漏洞來進行攻擊。

利用這個漏洞,黑客可以通過轉賬的手段生成合約中不存在的、巨量的Token并將其轉入正常賬戶,賬戶中收到的Token可以正常地轉入交易所進行交易,與真的Token無差別。

彭博策略師:比特幣相對于黃金的波動性繼續下降,并且比大多數傳統資產有更大的下跌空間:金色財經報道,彭博資訊高級宏觀策略師Mike McGlone8月21日分享了比特幣與黃金波動趨同的數據。Mike McGlone表示,比特幣相對于黃金的波動性繼續下降,并且比大多數傳統資產有更大的下跌空間。比特幣波動性的下降也導致加密貨幣的相對風險下降,使其風險降低。[2023/8/21 18:13:06]

PeckShield的安全預警報告中提到了該漏洞的具體細節,這個漏洞出現在BEC智能合約的batchTransfer函數當中,代碼如下圖所示。

大家請注意第257行,cnt和_value的計算結果生成了局部變量。第二個參數,即_value,,可以是一個任意的256字節整數,就比如是:0x8000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000。

比特幣全網難度升至36.95T 創歷史新高:金色財經報道,BTC.com數據顯示,比特幣全網難度已調整至36.95T,創下歷史新高,預計下次難度將在13天22小時后,但難度可能會出現下降。當前比特幣全網算力約為262.75EH/s,交易數量達到226,414筆。[2022/11/21 22:12:35]

通過將兩個_receivers注入到batchTranser(),再加上這個極其大的_value,我們就能使得量溢出,將其amount的量變成0。通過將量回歸到0,攻擊者就可以繞過258行到259行的合理性檢測,使得261行的差值變得不再相關。

最后,出現了一個非常有趣的結果:你們可以看262行到265行,兩個receriver的余額上增加了超級大的_value,而這一切都不會花費攻擊者錢包里哪怕一毛錢!

美CFTC主席:不要指望加密創新成為監管的“免費通行證”:10月12日消息,美國商品期貨交易委員會(CFTC)主席Rostin Behnam在DC金融科技周上發表講話稱,不要指望加密技術創新成為監管的“免費通行證”。[2022/10/12 10:31:39]

隨后PeckShield團隊利用自動化系統掃遍了以太坊智能合約并對它們進行分析。結果發現,有超過12個ERC-20智能合約都存在BatchOverFlow安全隱患。

為了驗證該漏洞存在的真實性,PeckShield團隊對其中一個智能協議進行了相似的攻擊。

PeckShield團隊還對一個未在交易所上線的以太坊寵物游戲CryptoBots進行了BatchOverFlow安全性攻擊,并成功地在該協議上「生成」了57,896,044,618,658,100,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000枚代幣CBTB。

總幣數已經超過合約規定的2萬枚CBTB。

CryptoBots這款游戲目前正在以太坊上進行交易,但通過數據查看后發現該游戲的實際游玩人數并不高,只有寥寥幾十人在玩。

PeckShield創始人蔣旭憲教授表示,「理論上可以把這個游戲中所有的道具都買下來。」

除了BEC和CryptoBots兩個智能合約之外,還有十余個智能合約存在同樣的漏洞,其中也包括已經在交易所上進行交易幣種。

出于安全考慮,目前PeckShield已經與相關項目團隊進行了聯系,暫時不能曝光這批項目的名稱。

區塊鏈安全難道只靠回滾?

BEC智能合約出現這個漏洞之后,黑客在2小時后開始往OKEx的地址充幣進行交易,因為市場上出現大量未知來源的Token,市場上出現恐慌心理,OKEx交易所上的持幣者開始拋售BECToken,導致BEC價格持續下跌,幣值幾乎歸零。

下圖中我們可以看到黑客先是試探性地往OKEx中轉入100萬的BECToken,黑客發現成功轉入賣出后,又分2次轉入了1000萬的BECToken,發現兩次都成功,便轉入了1億枚BECToken。

但這1億枚BECToken轉入后,OKEx已經發現問題并停止了BEC的交易。

按照轉入記錄,預計黑客已經賣出了最少1100萬枚BEC,折合昨日售價約1887萬人民幣。

下午4點12分,OKEx發布聲明中止了相關交易。BEC團隊也公告表示將與OKEx交易所合作回滾到黑客轉入Token之前的數據以保護投資者的權益。

PeckShield團隊認為,因為以太坊區塊鏈上所謂「代碼即一切」的原則精神的存在,導致目前沒有有效的安全防護手段來修復這些問題,而且因為Token交易背后牽扯著巨大的利益,是無法在多個交易所進行同步防護的。

因為中心化交易所只是對Token進行記賬式的交易,項目團隊與交易所配合之后回滾是可以一定程度上保護投資者利益的,但是如果在去中心化交易所進行交易那么投資者的損失將無法挽回,同時,利用交易所反應的時間差,黑客也可以實現在多個交易所套利。

知乎作者爬蟲認為該漏洞很容易解決,只需要對計算結果進行safeMath的安全驗證就可以,同時表示區塊鏈智能合約代碼需要測試、需要review,必要時可以請專門做代碼審計的公司來進行測試。

前有OKEx回滾期貨交易,后有OKEx回滾BEC交易,為什么區塊鏈上的安全問題總是要靠回滾來解決?如果沒法從根本上解決漏洞,那么受害的不僅僅是投資者,虛擬貨幣生態中的所有參與者都將遭受巨量損失。

Tags:BECatc以太坊BEC幣BEC價格atc幣是什么幣以太坊幣是什么幣

SHIB最新價格
“東洋四杰”日系最強600級公路賽摩托車對比_CBR

雅馬哈R6 在十九世紀德國人戴姆勒,就造出了世界上第一臺摩托車,在二戰過后民用摩托得以飛速發展,得益于當時的日本巨大的交通需求,日系的摩托車行業迅速崛起.

1900/1/1 0:00:00
青年節,牛市來了嗎?2018年5月4日全球虛擬數字幣TOP100行情快報_以太坊

今天是五四青年節,在這里祝所有幣圈的朋友節日快樂!不管你的年紀是多大,只要還有一顆炒幣的心,就是青年!讓我們一起在區塊鏈的道路上奮斗吧!走過的路,才知道有短有長;經過的事.

1900/1/1 0:00:00
市值1800億,全球第五,艾達幣全球合法電子貨幣的潛力新星!_ADA

從無名小卒,幾乎沒有任何宣傳,到超越萊特幣,EOS等,目前位列全部虛擬貨幣市值的第五名,Cardano及其艾達幣到底是何方神圣呢? 創始人團隊 Cardano由一家基于香港的IT公司IOHK開發.

1900/1/1 0:00:00
【首發】智能合約風險列表發布,ERC20 Token安全問題有據可查_CVE

以太坊ERC20Token標準自2015年11月19日誕生以來,為智能合約、以太坊生態以及區塊鏈應用的發展做出了巨大的貢獻.

1900/1/1 0:00:00
時艷強對話吳郎:說EOS是空氣幣的人一定生活在月球上_TPS

第93期:時艷強對話吳郎對話時間:6月22日18:00微信社群:EOS真相擂臺群 對話嘉賓: 吳郎EOSUnion發起人時艷強布洛克科技創始人全球高校區塊鏈愛好者聯盟主席時艷強:各位布洛克人.

1900/1/1 0:00:00
聽說有幾千種“比特幣”?其實也就4類_數字貨幣

當你稍微了解數字貨幣之后,你會發現,像比特幣這種數字貨幣有幾千種,聽著都頭大,不用著急放寬心,雖然現在的幣已經達到了幾千種,其實只有以下四類: 1、幣類 它主要起到一個交換媒介的作用.

1900/1/1 0:00:00
ads