2019年1月15日,ChainSecurity在Medium上發表了一篇題為ConstantinopleenablesnewReentrancyAttack的文章,文中通過代碼示例的方式,闡述了一些智能合約代碼在君士坦丁堡升級之后容易受到重入式攻擊(re-entrancyattack)。文章鏈接:
https://medium.com/chainsecurity/constantinople-enables-new-reentrancy-attack-ace4088297d9
文章中闡述道:
即將到來的以太坊君士坦丁堡升級將實現某些SSTORE操作從而消耗更少的gas費用。但是在Solidity智能合約中使用address.transfer(...)或address.send(...)函數將可能引發重入式攻擊。以前,這些函數被認為是可以抵御重入式攻擊的,但現在已不同往日。
之后,以太坊核心開發者和以太坊安全社區意識到了這一問題,正在開展相關的漏洞調查工作,并決定推遲君士坦丁堡硬分叉升級。此次升級原定于當以太坊區塊高度到達7,080,000時進行,預計將于2019年1月16日到達該高度。與此同時,建議所有節點運營商、交易所、礦工和錢包服務提供商等,在區塊高度到達7,080,000之前,升級至最新的Geth或Parity版本。
動態 | 比特大陸回應“向臺積電預定3萬片7納米芯片”:對于市場傳言不予置評:針對此前“網傳比特大陸斥重金向臺積電預訂3萬片7納米芯片”的消息,比特大陸回應稱:對于市場傳言不予置評。[2019/7/15]
為此,以太坊開發者HudsonJameson發文加以闡述,文章鏈接:
https://blog.ethereum.org/2019/01/15/security-alert-ethereum-constantinople-postponement/
Hudson在文章中給出的建議主要包括:
1、如果您只是與以太坊網絡進行簡單的交互,并不運行節點,則您不需要執行任何操作
2、礦工、交易所和節點運營商:
當Geth和/或Parity客戶端新版本發布后請及時進行更新;這些新版本尚未發布,發布之后的我們會及時公布更新鏈接和版本號及其說明;預計之后的3-4小時內會發布新版本。3、Geth客戶端
將版本升級至1.8.21,或者降級至Geth1.8.19,或者維持在1.8.20版本,但需要使用開關‘override.constantinople=9999999’從而實現無限期延遲君士坦丁堡升級。4、Parity客戶端
聲音 | 嘉楠耘智銷售總監:對于加密礦機制造商來說 能生存已“足夠好”:據cryptoglobe消息,加密貨幣采礦巨頭嘉楠耘智銷售總監Cheng Fend最近透露,該公司將能夠承受熊市,而對于大多數加密礦機制造商而言,能幸存下來已“足夠好”。”他還說:“幾年前,我們存儲了足夠的“彈藥”,因此公司現在具有彈性。如果熊市持續三年,這也不是問題。畢竟,成本非常低,我們也在AI芯片和其他投資領域開展業務。”[2019/1/20]
升級至ParityEthereum2.2.7-stable穩定版本(推薦);升級至ParityEthereum2.3.0-beta測試版本;降級至ParityEthereum2.2.4-beta測試版本(不推薦)。5、其他
Ledger、Trezor、Safe-T、ParitySigner、WallEth、PaperWallets、MyCrypto、MyEtherWallet以及其他未通過同步和運行節點來參與到以太坊網絡中的用戶或代幣持有者
你不需要做任何事情6、合約所有者
幣安何一:對于紅杉的事情是大家過度解讀了:幣安聯合創始人何一在問答會中表示,幣安當時比較弱小,的確需要大的投資基金幫助,但后來發現紅杉對幣安未來的發展幫助比較有限。中國傳統文化喜歡給對方面子,不想幣安這樣懟來懟去。公司能否發展好不是看和誰的關系好,還是得看是否真正對行業做出貢獻,是否是一個偉大的公司,是否真正對股東負責。[2018/5/18]
您無需要做任何事情;您可以選擇對合約的潛在漏洞進行分析并檢查您的合約;但是,您無需做任何事情,因為引發此潛在漏洞的變更將不會被啟用。由于排除風險所需的時間預計將超過君士坦丁堡升級之前聲譽的時間,因此以太坊開發者們決定推遲此次硬分叉升級。推遲至何時還尚不明確。
對于此次升級的延遲,以太坊社區成員們是如何看待的呢?我們來看一下Reddit上的以太坊社區r/ethereum中,社區成員對此此升級推遲的看法:
@CryptoOnly:推遲升級是明智之舉。希望相關漏洞能夠盡快解決,但我相信大多數人是愿意等待此次升級在適當的時間執行的。
@millerkm87:雖然我一直都非常期待此次升級,但推遲升級展現了以太坊社區是非常成熟的。雖有些不幸,但我更感謝漏洞被查出并被公之于眾,同時采取了適當的措施來加以應對。感謝開發者們一直以來的孜孜奉獻。
金色財經獨家分析 對于區塊鏈 經濟學依然關注“均衡”:經濟學正在逐漸參與到區塊鏈的研究之中,與傳統經濟學一樣,這次依然是關注“均衡”。近日倫敦帝國理工學院金融學教授Emiliano Pagnotta和Andrea Buraschi也針對這樣的問題展開研究。他們指出“分散化的金融網絡獨特之處在于代幣同時發揮兩種功能。 除了作為資產發揮作用外,他們還鼓勵礦工維護網絡。 報告中的均衡價格是解決消費者與礦工之間的相互作用的定點問題的解決方案。“金色財經分析,在傳統領域,經濟學通過研究供給與需求曲線確定平衡點,如今消費者的需求方沒有變,不同是,生產者變成了“礦工”,同時礦工這一生產者角色也間接扮演貨幣發行者的角色。[2018/4/17]
@SpacePirateM:感謝讓社區成員能夠及時了解這些問題,這有助于減少人們的FUD(懼惑疑)心理。我完全相信開發者們能夠解決這些小問題。
@sandakersmann:伙計們,趕緊升級你們的節點!
@stevieyongieg:在區塊鏈和智能合約領域,沒有什么事情是容易實現的。重要的是ETH背后有著堅實的團隊和基礎。現在發現漏洞總比以后發現要好啊。
V神:DPOS機制對于以太坊來說不明智:Vitalik Buterin近日發文表達了對由持幣者投票決定誰運行節點的這種機制的反對,認為這種機制對于以太坊來說是不明智的。表示如今DPOS的最新丑聞似乎嚴重惡化,因為Eos的委托獎勵現在如此之高(每年5%的通脹率,每年約4億美元),因此,這場由誰來管理節點的競爭實質上已成為美中地緣經濟戰的另一個前沿領域。[2018/3/30]
@UndeadWolf222:雖然有些失望,但感謝能夠在主網升級之前發現(漏洞)。伙計們,繼續加油吧。
@DexVitality:有些難過,又要推遲了。但鑒于可能存在重入式漏洞,推遲是完全有必要的...我想繼續前行的同時...也許他們(開發者們)能有更多時間來討論潛在的將PoW改變成ProgPoW,或者在確定硬分叉日期的時候可能提出其他的EIP,我的假設是此次推遲有可能將升級延遲至少1個月左右。
@superflyj416:有人能對此次推遲將持續多久做出有根據的猜測嗎?需要幾周還是幾個月?你為什么這么認為呢?
@insomniasexx:確切的時間將可能于周五確定下來。不可能會延遲很長時間,因為難度炸彈已經被設置好了在某個時間爆炸。因此我覺得此次推遲有可能持續超過3天,但短于即將發生的難度炸彈期限,這是我能做出的最好的猜測。
@5chdn:我認為,延遲可能超過2個星期,但不會超過6個星期,這是我能做出的最好的猜測。
@neuromancer4867:我們又要回到(ETH)價格只有$80的時候了。這是最有可能的結果,但這依舊是一件很糟糕的事情。
@parasitemite:很有可能(ETH)價格會上漲到$200,因為這次事件是一個很好的結果,它向我們展現了以太坊團隊不懼于迅速應對問題。
@psswrd12345:又再次延遲了,真的很難讓人保持積極態度。導致這次無限期的推遲的原因,本應該在上一次延期的時候就檢測出來。真的很失望。當然最好還是推遲,但現在真的很難保持信念了。這種感覺比當初的DAO分叉更灰暗...
@Stobie:@psswrd12345只是推遲幾周而已,沒那么嚴重。
@c-i-s-c-o:@psswrd12345構建去中心化web本就不是一朝可以實現的,不可能不存在挫折。要么習慣這些挫折,要么就把精力專注在那些不那么易變的事務上。
@consideritwon:質量帖。我想問幾個問題...其他的操作也可能帶來重入式攻擊,而這通常是可以通過避免某些模式來加以應對的。一旦確認沒有合約會受到影響,是否有意繼續部署這個EIP并以這種方式處理重入式攻擊?或者會重新變更EIP?其次,關于為何這么久之后才發現這一漏洞。是否有方法能夠用來改進自動化檢測,以此來發現諸如此類的問題?還是需要手動去檢測問題?我們從中能夠吸取什么教訓呢?
@Xazax310:恰好我的問題也是,為何之前沒有檢測出這個問題?很高興開發者們發現了這個漏洞,并在修復中。這可能只是一個小問題。
@vbuterin:@Xazax310我們遇到的所有非常討人厭的問題都涉及到不同組件之間的交互。二次DoS攻擊結合了EVM存儲器和調用棧框架或返回和調用棧框架,這可能會增加風險,因為發送中的默認gas、SSTOREgas成本和重入式問題之間存在交互。因此,如果你的協議有著N個功能,就存在N的二次方中方式來攻破這些功能。我想說,我個人從此次事件中學到的就是,需要對我們所編寫的不變量(由協議保障的屬性)要更加清楚明確,這樣當事情發生變化時,我們才能更好地檢查這些不變量。
@Xazax310:明白了,感謝你的解答。
本文來源于非小號媒體平臺:
Unitimes獨角時代
現已在非小號資訊平臺發布1篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/3627114.html
以太坊ETH
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
下一篇:
Dash無懼51%算力攻擊?其他PoW鏈如何自保?
Tags:ETH以太坊RITPARethylether怎么得到以太坊幣呢Hachiko CharityParty Dog
原文標題:《外媒盤點:2018年最差勁的6家加密貨幣交易所》對于專注于密碼貨幣領域的項目而言,2018年是一個真正的考驗.
1900/1/1 0:00:00核心摘要:有學者認為中國保衛人民幣可以使用黃金、稀土、比特幣等。比特幣確實當前具備一定的避險價值,體現在其信用背書機制、流動性及支付手段作用三個方面.
1900/1/1 0:00:005月20日,在2019年全國科技活動周上,京東數字科技首次對外披露區塊鏈專利申請情況。數據顯示,目前其已申請的區塊鏈專利數量近200件,區塊鏈技術已經在品質溯源、數字存證、信用網絡、價值創新等場.
1900/1/1 0:00:00市場并沒有出現我們期待的輪動行情,二三線標的暫時還是沒什么動靜,不過BNB是真的強勢,我們前面也多次說過,該標的的漲幅完全取決于里面人的貪婪程度,有多貪婪就會漲多高.
1900/1/1 0:00:00此次TronBank合約被盜事件再次印證了一個簡單到令人發指的常識——所謂智能合約的開源并不能等同于「無條件的安全」,而且粗糙的去中心化機制可能存在被利用的中心化黑幕可能.
1900/1/1 0:00:00文:余錫清 編輯:王巧 數字經濟時代是一個科技至上的時代,更是一個版權裸露的時代。今年4月,視覺中國因黑洞及國旗國徽圖片導致的版權維權爭議,引發了公眾對“版權碰瓷”行為的關注.
1900/1/1 0:00:00