編者按:本文來自數字彗星科技,星球日報經授權發布。針對前段時間EOS漏洞問題,本文將進行整體細節的回顧,希望大家提起安全意識,但也不要過度恐慌,正確看待安全問題。一、事件概述6月22日凌晨,EOS官方社區發布消息稱:發現EOS漏洞,用戶抵押投票的代幣在漏洞修復之前都無法贖回。隨后我們根據相關消息對該漏洞進行驗證確認該漏洞確實存在,且在漏洞修復前,通過精心構造的攻擊使得特定用戶資產進行無限期抵押,無法贖回。我們知道EOS采用DPoS共識機制,該機制通過社區投票選舉21個超級節點來維護EOS網絡,為EOS網絡提供算力、帶寬以及存儲支持。用戶投票不需消耗EOS,但EOS會被鎖定。用戶可以隨時申請贖回抵押的EOS,申請贖回后72小時后到賬,同時,投票將被扣減。此次漏洞事件發生在EOS贖回過程中,如果其他用戶抵押EOS給贖回用戶,系統首先將贖回用戶贖回過程中的EOS進行再次抵押。我們已經知道申請贖回的EOS需要72小時才能到賬,如前所訴,通過精心構造的攻擊理論上使得指定用戶資產進行無限期抵押,對用戶造成嚴重危害。二、漏洞攻擊流程1.假設被攻擊用戶擁有0.0005個正在贖回途中EOS。
區塊鏈網絡安全公司Arkhivist獲得融資,很快將公布產品和代幣細節:據官方消息,專注于DeFi、區塊鏈和加密貨幣的網絡安全公司Arkhivist宣布獲得融資,由DeFi Alliance和IOSG的Xinshu Dong領投。Arkhivist很快將公布產品和代幣細節。[2021/6/27 0:09:18]
2.此時攻擊者向贖回用戶抵押0.0001個EOS。
58COIN小貝披露58風控部署細節:追蹤應急體系完善 人力配比一流金融機構:今晚,58COIN市場總監小貝做客媒體直播間,披露58風控部署細節: 58采用了嚴格的風控體系,其智能監控具備完善的KYC報備和追蹤體系,并包含服務器端主動式入侵檢測和緊急處理機制。58COIN集團風控部門的人力資源配比一直和一流的傳統金融機構的優質標準齊平,甚至高于部分傳統金融機構。[2020/6/24]
3.交易生效后,我們看到攻擊者的余額沒有發生變化,而贖回用戶正在贖回途中的0.0001個EOS被迫再次進行抵押。
聲音 | BB:關于VOICE在中國的落地細節將會很快公布:據MEET.ONE消息,Block.one CEO BB剛剛在電報群解答社區對Voice的疑問,要點如下: 1.可以把voice看作是有史以來最公平的token分配。 有了voice,用戶KYC之后,每個人每天都有平等的話語權; 2.針對為什么要KYC的質疑,BB回復:Voice是有能力匿名發布的,但出于合規考慮,KYC是難以避免的。如果你寧愿使用一個出售你的數據去獲利的平臺,也不愿意KYC的話,你也可以選擇保持現狀。另外,我們的KYC會遵守法律, 不會公布個人信息; 3.從價值和用戶體驗的角度來說,我們相信Voice的積極影響遠遠超過消極一面的, 大眾會很快意識到這一點 ; 4.我們正在努力解決唯一身份驗證問題,它的確切形式還有待最終確定, 我們希望利用KYC將價值返還給用戶; 5.關于“中國用戶能否 KYC”的問題,BB回復稱更多關于中國用戶落地細節很快會發布。[2019/6/5]
三、漏洞原理解析攻擊流程圖中的攻擊命令如下:cleos--wallet-urlhttp://localhost:6666--urlhttp://mainnet.genereos.io:80systemdelegatebw(attacker)(victim)"0.0001EOS""0.0000EOS"--transfer由于攻擊者在調用命令時加入了--transfer參數,在調用到抵押函數delegatebw時會調用changbw函數,此時transfer為true
當transfer變量為true時,from地址變成被攻擊對象的地址,
接下來被攻擊對象的數據被修改,EOS再次抵押,
四、漏洞緩解方案綜合以上分析,本文建議修改部分業務邏輯緩解和修復該抵押漏洞。1.transfer參數不管是否為true,都應該直接在抵押發起方余額中扣除;2.梳理相關業務邏輯,審查是否存在類似漏洞。五、漏洞分析總結通過以上分析,通過精心構造的攻擊使得特定用戶資產進行無限期抵押,無法贖回。利用緩解方案的措施修補代碼能夠有效緩解和修復該漏洞。
Tags:EOSICEANSRANNEOS幣justice幣怎么樣Battle of Guardians ShareVibranium
編者按:本文來自區塊鏈咨詢機構WXY創始人于迪在三點鐘社群的分享,星球日報經WXY授權轉載。成立WXY之前,我一直專注市場營銷領域近14年,曾經在奧美北京服務了七年、騰訊的MIG做了兩年的品牌總.
1900/1/1 0:00:00本文來自:鏈聞,作者:PerryWang/汪澤,星球日報經授權轉發。加密貨幣將會顛覆傳統風險投資,這是個老話題,不過每每呈現出新動向.
1900/1/1 0:00:00編者按:本文來自區塊律動BlockBeats,作者:0x2,星球日報經授權發布。商家告訴你買了我們的產品,60天就可以回本,接下來賺的都是利潤,你心動嗎?你心動了,也就被騙了.
1900/1/1 0:00:00頭條 百萬EOS是因用戶操作不當被盜,并不是交易所EOS被盜據IMEOS消息,百萬EOS是因用戶操作不當被盜,并不是交易所EOS被盜,各大節點正努力協同找回.
1900/1/1 0:00:00編者按:本文來自:鏈捕手,作者:李思成,星球日報經授權轉載。如果說區塊鏈1.0是數字化貨幣的時代,區塊鏈2.0是利用智能合約募資的時代,那么區塊鏈3.0就應當是資產數字化和自由流通的時代,而這必.
1900/1/1 0:00:00文:郝方舟趙歡鑫 組裝中的阿瓦隆A841我不信,你沒想過自己挖比特幣。我剛聽說比特幣時,第一個問題就是“比特幣是怎么來的”,之后才想到“它有啥用”和“多少錢一個”.
1900/1/1 0:00:00