“亡羊補牢,為時未晚”,這句話在生活中的大部分時候均適用。然而,在面臨網絡安全時,牢破也許就會造成無法挽回的損失。
在安全問題未造成不可彌補的損失前就被發現,或是一開始便做好萬全準備,才是身為區塊鏈從業者的安全第一要義。
北京時間8月14日下午,CertiK安全技術團隊發現DeFi匿名耕種項目Based官方宣布有攻擊者通過調用Based智能合約中的某一個函數,將一號池(Pool 1)凍結,同時宣布將重新部署其一號池。
百度Apollo首發 “Apollo 001”系列紀念數字藏品:金色財經報道,據百度Apollo智能駕駛官方公眾號,百度Apollo全網首發首款 “Apollo 001”系列紀念數字藏品,以百度汽車機器人為主體形象,每款對應一個百度Apollo自動駕駛重要里程碑事件。據悉,該數字藏品將于2022年7月8日 09:55發布汽車機器人家族全家福空投款。[2022/7/7 1:58:19]
官方發布推特稱,有黑客試圖將“Pool1”永久凍結,但嘗試失敗。而“Pool1”將繼續按計劃進行。
CertiK通過分析該智能合約,認為這次凍結Based項目一號池事件,是一次由于存在智能合約漏洞導致的事故。
LBank藍貝殼于4月10日01:00首發 BOSON,開放USDT交易:據官方公告,4月10日01:00,LBank藍貝殼首發BOSON(Boson Protocol),開放USDT交易,4月9日23:00開放充值,4月12日16:00開放提現。上線同一時間開啟充值交易BOSON瓜分10,000 USDT。
LBank藍貝殼于4月10日01:00開啟充值交易BOSON瓜分10,000 USDT。用戶凈充值數量不少于1枚BOSON ,可按凈充值量獲得等值1%的BOSON的USDT獎勵;交易賽將根據用戶的BOSON交易量進行排名,前30名可按個人交易量占比瓜分USDT。詳情請點擊官方公告。[2021/4/7 19:54:33]
首發 | DVP: Bitstamp交易所存在漏洞 可導致大量KYC等信息被泄露:金色財經訊,近日,DVP收到安全人員提交的全球知名交易所Bitstamp的漏洞,攻擊者可以利用該漏洞查看大量用戶ID、銀行卡等敏感信息,嚴重威脅用戶信息安全。為避免發生KYC泄露的惡性事件,DVP安全團隊在收到該漏洞后,第一時間通知該平臺進行修復,但未收到回應。DVP提醒相關用戶關注個人信息安全,以免造成損失。[2019/8/13]
Based團隊部署一號池智能合約,部署地址為0x77caF750cC58C148D47fD52DdDe43575AA179d1f。
首發 | 螞蟻礦機S17性能曝光 采用全新散熱技術及全局優化定制方案:金色財經訊,日前,比特大陸即將發布的螞蟻礦機S17性能曝光。據螞蟻礦機S17產品經理朋友圈稱,新品將采用新一代散熱技術及全局優化定制方案。據了解,該散熱技術可能是指芯片的封裝技術,也有可能是機器的散熱結構設計。至于S17產品“全局優化定制”方案未有細節透露。有聲音評價,這或許是為決戰豐水期做出的準備。[2019/3/22]
Based官方通過調用智能合約中的renounceOwnership函數來聲明智能合約所有者,但未進行智能合約初始化。
由于在Based智能合約中initialize函數被錯誤的設置為可以被外部調用,因此造成在初始化智能合約過程中,一號池的智能合約被外部攻擊者用錯誤的值初始化。
錯誤的初始化造成Based官方無法再次初始化一號池的智能合約,因此造成一號池被凍結,任何質押行為都無法完成。
Based官方決定放棄該智能合約,重新部署一號池智能合約。
1. Based團隊在部署智能合約后,沒有及時的調用下圖的initialize函數來初始化智能合約的設置:
2. 外部調用者利用Based團隊在部署和初始化智能合約之間的時間差,乘機調用了下圖中671行被錯誤設置調用范圍的initialize函數,搶先初始化了一號池的智能合約:
3. 上圖兩個initialize函數都是由initializer的修飾符修飾。根據其中代碼,如果調用了其中一個initialize函數,另外一個initialize函數就無法被調用。initializer修飾符代碼如下圖所示,這造成了Based官方失去了初始化函數的機會:
4. 綜上因素,Based智能合約無法被官方正確初始化,因此任何質押行為都無法進行。
質押失敗的交易記錄:
該次事件本質上是由智能合約漏洞導致的,但如果Based團隊提早注意到這個漏洞,提前初始化智能合約,可以完全規避這次危險,避免一號池被凍結。因此,CertiK安全技術團隊提出如下建議:
部署智能合約時應準備好初始化智能合約所需要的命令腳本等工具,及時初始化智能合約,避免攻擊者利用部署操作和初始化操作之間的時間差,搶先初始化或者惡意操縱智能合約。
開發者應精通智能合約的運行原理和技術細節,不要盲目的采用其他的智能合約代碼。
可邀請專業的第三方安全團隊或內部安全專家對其智能合約進行審計,保證智能合約的安全性和可靠性。
Tags:BASEDBASBASEIZEBASED價格Maker Basiccoinbase交易所app下載Football Decentralized
隨著去中心化交易所流動性挖礦的興起和 DeFi 代幣價格的暴漲,以太坊區塊鏈又雙叒叕堵了。根據 etherscan.io 的數據,以太坊網絡推薦的 Gas 費用已經達到 330GWei(8 月.
1900/1/1 0:00:00比特幣今早有點吸血拉升的意思,但力度較弱,沖高到12000美金附近再度受阻,目前在11850美金附近震蕩.
1900/1/1 0:00:008月17日,2020區塊鏈生態合作大會在上海舉行,中國銀保監會重點金融機構監事會監事陳偉鋼發表題為“區塊鏈政策導向與應用前景“的主題演講.
1900/1/1 0:00:00Pantera合伙人:自動調整供應量的AMPL是更好的比特幣Ampleforth早期投資者Pantera Capita的l合伙人Paul Veradittakit發文解讀AMPL.
1900/1/1 0:00:00開學在即,各大高校的錄取通知書已經陸續投遞到考生手中。為了避免錄取通知書造假或者冒名頂替等問題發生,中國郵政EMS開始嘗試用區塊鏈的新技術解決信任難題.
1900/1/1 0:00:00文章系金色財經專欄作者幣圈北冥供稿,發表言論僅代表其個人觀點,僅供學習交流!金色盤面不會主動提供任何交易指導,亦不會收取任何費用指導交易,請讀者仔細甄別,謹防上當.
1900/1/1 0:00:00