據blog.ethereum消息,由于以太坊改進提案被發現重大安全漏洞,原定于在第7080000個區塊上進行的君士坦丁堡硬分叉被推遲。WeekinEthereum創始人EvanVanNess表示,新的硬分叉日期將在周五的下一次核心開發者電話會議期間確定。以太坊核心開發者AfriSchoedon則在Twitter上表示,硬分叉將于下周一舉行。漏洞發生了怎么辦?
關于EIP1283漏洞處理,以太坊官方也通過博客表示,推遲君士坦丁堡硬分叉,即不在第7080000個區塊上分叉,并且發布了相關處理辦法:對于已經升級同步的節點、礦工、交易所,需要在Geth或Parity新版本發布后及時更新版本,新版本預計在博客發布的3~4個小時內發布。具體的方案如下所示:Geth版本:升級到Geth1.8.21;降級至Geth1.8.19;如果想保持在Geth1.8.20,請使用開關'-override.constantinople=9999999'無限期推遲君士坦丁堡分叉;Parity版本:推薦升級到ParityEthereum2.2.7-stable或ParityEthereum2.3.0-beta;不推薦降級至ParityEthereum2.2.4-beta。對于未同步升級的節點、錢包以及代幣持有者,現在不需要進行任何操作。對于合約所有者,現在可以檢查一下合約是否還存在其他潛在的漏洞,但請不用擔心,因為有著漏洞的EIP1283不會被啟用。漏洞是什么?
CertiK:NFT紙牌游戲Z-ERA出現漏洞損失28.5萬美元:金色財經報道,區塊鏈安全公司CertiK報告稱,基于NFT的紙牌游戲Z-ERA出現漏洞損失285,000美元。CertiK發現了一個涉及由外部帳戶部署的未經驗證的合約的漏洞。攻擊者獲得了180萬個ZERA代幣并出售,導致ZERA代幣價格暴跌99%。
此外,1178.5枚BNB被轉移到Tornado Cash。被盜代幣約占總供應量的27%。盡管事件發生在游戲發布后不久,但Z-ERA對這次襲擊事件保持沉默。[2023/6/22 21:53:26]
北京時間今天零點,智能合約審計公司ChainSecurity發布了一份報告,報告指出以太坊君士坦丁堡代碼存在漏洞,該漏洞可能導致“重入攻擊”——攻擊相關合約、修改用戶余額或其他關鍵變量。為什么會產生重入攻擊?ChainSecurity認為,在分叉前一個存儲至少需要5000gas,遠遠超過使用“transfer”或“send”調用合約時發送的2300gas;而在分叉后,一個存儲只需要200gas,攻擊者可以通過調用一些公共函數,更改所需變量。比如攻擊者可以調用攻擊者合約,只需要花費2300gas就可以成功地更改弱勢合約的變量,包括賬戶余額等。當然,攻擊要想成功需要一些條件:必須有一個函數a,在該函數中,“transfer/send”后面緊跟著一個狀態更改操作,這有時是不明顯的;攻擊者必須有一個能夠訪問函數A改變狀態的函數B,B狀態改變會與函數A發生沖突;函數B需要在小于1600gas的情況下執行(2300氣費-700氣話費)。ChainSecurity提醒大家,可以從檢查以下幾個方面避免合約被攻擊:檢查transfer事件后是否有任何操作。檢查這些操作是否改變了存儲狀態,最常見的是通過分配一些存儲變量,檢查哪些變量已被修改,做一個列表。檢查合約中,非管理員可以訪問的任何其他方法是否使用這些變量之一;檢查這些方法本身是否自行改變存儲狀態;檢查是否低于2300gas,同時記住SSTORE操作可能只有200gas。漏洞重演何時休?
BAYC鑄造型游戲Dookey Dash被爆出現漏洞:金色財經報道,據軟件工程師 Cygaar 在社交媒體發文稱,“無聊猿” BAYC 最新鑄造游戲 Dookey Dash 存在漏洞。 Cygaar 在其發布的一段視頻中顯示玩家可以通過(不再他們周圍)的各種類型障礙物并依然記錄有效分數。Cygaar 補充稱,這個漏洞能讓玩家完全無需繞過風扇和流經下水道的管道等障礙物就能累計分數,目前他已經把這個問題報告給了安全工程師 @samwcyo 和 Yuga Labs 安全團隊,但到目前為止 Yuga Labs 和 BAYC 官方尚未就此問題給予說明,但已有玩家已經打出了超過 176257 高分值。[2023/1/26 11:30:50]
這次EIP1283出現的重入攻擊,在以太坊的發展史上曾出現多次,屬于頑疾。“其實這個攻擊方式,在以太坊上早就是赫赫有名了,我不相信以太坊社區沒有考慮到這個問題。”以太坊研究者胡靖宇告訴Odaily星球日報。重入攻擊影響最大是TheDAO合約漏洞事件。當時黑客利用TheDAO合約漏洞,轉移了價值4千多萬美元以太幣。為了奪回資金,以太坊社區決定進行軟分叉與硬分叉,結果社區內部產生分歧,一部分選擇留在原鏈,一部分選擇了進入新的分叉鏈。根據胡靖宇所說,以太坊智能合約為了方便一些邏輯操作,留下了“transfer()和send()”這樣一種調用方式,但也給開發者留下了安全隱患。“但是只要開發者知道有這樣一個安全隱患,在寫代碼的時候多判斷一下邏輯就可以保證安全性了。”至于下周一會不會進行硬分叉升級,胡靖宇表示硬分叉升級具體的時間點應該是未定的,因為官方目前還沒有評估到具體的風險以及制定解決方案。
The Block新聞負責人:OpenSea未出現漏洞,黑客利用釣魚郵件發起攻擊:2月20日消息,據The Block新聞負責人 Frank Chaparro 轉發 Cyphr.ETH 推文稱,黑客使用了標準網絡釣魚電子郵件復制了幾天前發生的正版 OpenSea電子郵件,然后讓一些用戶使用 WyvernExchange 簽署權限。OpenSea 未出現漏洞,只是人們沒有像往常一樣閱讀簽名權限。
今日有消息稱,多位用戶發現 OpenSea 昨日推出的新遷移合約疑似出現 Bug,攻擊者正利用該 Bug 竊取大量 NFT 并賣出套利,失竊 NFT 涵蓋 BAYC、BAKC、MAYC、Azuki、Cool Cats、Doodles、Mfers 等多種高價值系列。
OpenSea 官方隨后作出回應,「我們正在積極調查與 OpenSea 智能合同有關的傳聞。這看起來像是來自 OpenSea 網站外部的網絡釣魚攻擊。不要點擊opensea.io 之外的任何鏈接。[2022/2/20 10:03:29]
BSC生態Uranium Finance出現漏洞導致5000萬美元資金被盜:BSC生態Uranium Finance出現漏洞導致5000萬美元資金被盜。目前,官方發布推特稱,團隊正在與幣安安全團隊聯系。(MyCrypto)[2021/4/28 21:06:38]
富達投資子公司富達數字資產公司在其官方Twitter上宣布,其比特幣托管服務已向一組“精選合格客戶”推出.
1900/1/1 0:00:00編者按:本文來自巴比特資訊,作者海倫,Odaily星球日報經授權轉載。1月15日,3位互聯網大佬“王欣、張一鳴、羅永浩”同時發布3款新社交產品“馬桶MT、多閃、聊天寶”,掀起了一輪對社交產品的熱.
1900/1/1 0:00:00編者按:本文來自財經網鏈上財經,作者:奚習習,Odaily星球日報經授權轉載。SEC多次延遲比特幣ETF申請,可能很多人已經對比特幣ETF的新聞感到有些麻木了,鑒于美國監管方面遲遲無法批準比特幣.
1900/1/1 0:00:00本文來自:哈希派,作者:LucyCheng,星球日報經授權轉發。開春后,中國股市不僅迎來開門紅;還在中美貿易戰緩和、政府放松市場政策,以及國際指數商MSCI提升A股納入權重等等海內外利好信息的推.
1900/1/1 0:00:00頭條 黑客在暗網出售個人信息,聲稱來源于大型交易所據CCN消息,在一個名為“Dread”的暗網市場上,賣家“ExploitDOT”發布廣告出售個人信息.
1900/1/1 0:00:00據FinancialTimes消息,倫敦證券交易所集團與加密貨幣交易所AAX合作,倫敦證券交易所集團的Millennium交易技術將被AtomGroup用于其新的加密貨幣交易所AAX.
1900/1/1 0:00:00