編者按:本文來自數字彗星科技,星球日報經授權發布。針對前段時間EOS漏洞問題,本文將進行整體細節的回顧,希望大家提起安全意識,但也不要過度恐慌,正確看待安全問題。一、事件概述6月22日凌晨,EOS官方社區發布消息稱:發現EOS漏洞,用戶抵押投票的代幣在漏洞修復之前都無法贖回。隨后我們根據相關消息對該漏洞進行驗證確認該漏洞確實存在,且在漏洞修復前,通過精心構造的攻擊使得特定用戶資產進行無限期抵押,無法贖回。我們知道EOS采用DPoS共識機制,該機制通過社區投票選舉21個超級節點來維護EOS網絡,為EOS網絡提供算力、帶寬以及存儲支持。用戶投票不需消耗EOS,但EOS會被鎖定。用戶可以隨時申請贖回抵押的EOS,申請贖回后72小時后到賬,同時,投票將被扣減。此次漏洞事件發生在EOS贖回過程中,如果其他用戶抵押EOS給贖回用戶,系統首先將贖回用戶贖回過程中的EOS進行再次抵押。我們已經知道申請贖回的EOS需要72小時才能到賬,如前所訴,通過精心構造的攻擊理論上使得指定用戶資產進行無限期抵押,對用戶造成嚴重危害。二、漏洞攻擊流程1.假設被攻擊用戶擁有0.0005個正在贖回途中EOS。
Velodrome公布代幣初始釋放及空投細節,將向跨鏈DeFi用戶及OP持有者空投:5月23日消息,由Solidly生態項目veDAO在Optimism上推出的以Solidly為模板的DEX Velodrome公布了代幣初始釋放及空投細節。代幣VELO初始釋放量為4億枚,其中60%將進行空投;24%將以veVELO的形式分配給協議及DAO;10%將分配給團隊;5%將以veVELO的形式分配給Optimism團隊,剩余1%將作為初始流動性。用于空投的60%(2.4億枚VELO)中,45%將分配給WeVE持有者;25%將分配給跨鏈DeFi用戶(包括Curve、Convex、Platypus Finance、Treasure DAO、Redacted Cartel用戶);30%將分配給OP持有者。[2022/5/23 3:36:33]
2.此時攻擊者向贖回用戶抵押0.0001個EOS。
動態 | 火幣七爺回應“火幣借IEO拿鎖倉基金HT高位套現”說法:謠言,后續將公布細節:4月28日訊,近期網上流傳的一張圖片稱,火幣官方借IEO模式,拿鎖倉基金HT高位套現超1億美元。圖片顯示,根據火幣2018年4月21日公告,HT鎖倉地址中投資者保護基金鎖倉地址為:0x3567cafb8bf2a83bbea4e79f3591142fb4ebe86d,余額現為1,822,198.9 HT。而根據火幣2019年4月15日公告,投資者保護基金鎖倉數額為5115.79 HT,與最初公布的地址中余額不符,少了近4993萬枚HT(現約合1.15億美元)。火幣七爺稱此為謠言,后續將會公布細節予以佐證。[2019/4/28]
3.交易生效后,我們看到攻擊者的余額沒有發生變化,而贖回用戶正在贖回途中的0.0001個EOS被迫再次進行抵押。
高盛和Square利好消息的關鍵細節可能會冷卻加密貨幣多頭的熱情:隨著加密貨幣多頭為關于高盛和Square的消息歡呼,比特幣一度超過9600美元關口,但一些關鍵細節可能會冷卻市場熱情。此前紐約時報報道稱,高盛表示,比特幣不是騙局,將推出比特幣合約交易。但彭博援引知情人士稱,高盛并不是買賣真正的比特幣,該公司計劃通過提供數量有限的衍生品開始小規模的交易。此外,市場也因Square公布的與加密貨幣有關的3400萬美元收入歡呼,但細節顯示,去除成本,該公司只從加密貨幣出售中賺了約20萬美元。[2018/5/4]
三、漏洞原理解析攻擊流程圖中的攻擊命令如下:cleos--wallet-urlhttp://localhost:6666--urlhttp://mainnet.genereos.io:80systemdelegatebw(attacker)(victim)"0.0001EOS""0.0000EOS"--transfer由于攻擊者在調用命令時加入了--transfer參數,在調用到抵押函數delegatebw時會調用changbw函數,此時transfer為true
當transfer變量為true時,from地址變成被攻擊對象的地址,
接下來被攻擊對象的數據被修改,EOS再次抵押,
四、漏洞緩解方案綜合以上分析,本文建議修改部分業務邏輯緩解和修復該抵押漏洞。1.transfer參數不管是否為true,都應該直接在抵押發起方余額中扣除;2.梳理相關業務邏輯,審查是否存在類似漏洞。五、漏洞分析總結通過以上分析,通過精心構造的攻擊使得特定用戶資產進行無限期抵押,無法贖回。利用緩解方案的措施修補代碼能夠有效緩解和修復該漏洞。
Tags:EOSVELOTRANSTRAEOS幣最新消息VELO TokenTransaction Service feeDecentralized
據界面新聞報道,原樂視體育團隊,正在研發一款名為“抓飯”的區塊鏈內容平臺,該平臺以原先的章魚TV為藍本,正在進行區塊鏈相關技術的研發,并已獲得新澎資本500萬美元的投資.
1900/1/1 0:00:00據金融時報報道,云挖礦公司Argo已獲得英國上市管理局(UKListingAuthority)的許可,將在倫敦證交所(LSE)上市.
1900/1/1 0:00:00頭條 騎ofo就能挖礦,GSE將在日本上線“綠色挖礦”據多家媒體報道,繼今年4月份在新加坡推出“騎行挖礦”后,ofo還將在日本上線該功能,用戶騎車即可挖到ofo的合作幣GSE.
1900/1/1 0:00:00頭條 新華社:有專家建議中國監管部門重新評估數字貨幣及區塊鏈發展戰略新華社經濟分析師王乃水表示,從美國經驗看,越是擔心的地方就越應該讓其公開化、陽光化,并制定針對性較強的監管策略.
1900/1/1 0:00:00公開透明是區塊鏈被看重的一大特點,區塊鏈數據“理理論上”可被所有人查看和追溯,但對于普通用戶來說,區塊鏈世界的一切工具都顯得過于“極客”.
1900/1/1 0:00:00星球日報獲悉,云計算領域公鏈Ankr于近日獲得了來自九鼎JLab、DFG、丹華資本、Pantera、NEOGlobalCapital、OK資本、UpHonest、BlockVC、節點資本、Lin.
1900/1/1 0:00:00