研究人員發現漏洞，可能會暴露交易所的加密錢包_區塊鏈:ETH

安全專家表示，他們公布了眾多加密交易所和金融機構使用的開源庫中的一些漏洞——這些漏洞可能會被黑客利用，尋找進入用戶錢包的途徑。

在最近的黑帽網絡安全會議上，專家們表示，一些影響交易所的問題現在已經得到修復--但聲稱其他問題仍然對其所有者構成威脅。

據Wired報道，加密交易所技術公司TaurusGroup的聯合創始人、KudelskiSecurity的副總裁Jean-PhilippeAumasson指出，移動錢包制造商ZenGo聯合創始人OmerShlomovits發現的漏洞分為三類攻擊。

智能合約平臺Fantom研究人員提出智能合約鏈下執行和測試解決方案:官方消息，智能合約平臺Fantom的研究人員在Usenix2021年度技術會議中，展示了一種專注智能合約鏈下執行和測試的全新解決方案，其效率將高于現有的解決方案。目前，開發人員測試智能合約需要用三個方案：存檔節點、全節點或測試網，其中每一種都可能受到擴展性、速度和存儲的限制。為了解決這些問題，Fantom的研究人員提出了一個建立在交易「記錄和重放」機制的鏈下測試環境，開發者就能重放交易，而不依賴于以前的交易和區塊鏈的整個世界狀態。在針對900萬個區塊樣本集的測試中，「記錄和重放」模型將所需的存儲量減少了50%。[2021/7/21 1:07:13]

第一類攻擊要求黑客利用其中一家交易所的內部人員，利用一家領先交易所制作的開源庫中的漏洞，研究人員選擇不點名。

ETH 1.x研究人員提交向以太坊網絡添加第二種燃料提案:5月12日，ETH 1.x研究人員Alexey Akhunov提交了向以太坊虛擬機（EVM）添加第二種燃料來源“Oil”的提案。這一提案還沒有成為正式的EIP（以太坊改進方案），但目前正在研究和討論中。該提案旨在避免重復調整網絡運營的Gas成本。對此，Ethereum基金會Griffin Hotchkiss建議將“Oil”與“Gas”并列使用。據悉，以太坊Gas目前主要有兩種用途：為計算和存儲資源付費，以及調用Gas來防止重入。（BeInCrypto）[2020/5/13]

通過利用該庫刷新密鑰機制中的一個漏洞，黑客可以操縱該過程來改變關鍵組件--同時讓所有其他組件保持不變。因此，攻擊者可以阻止交易所在自己的平臺上訪問加密貨幣。

聲音 | 康奈爾大學研究人員：區塊鏈或有利于賄選:據ethnews報道，康奈爾大學的四名研究人員于7月發表了一篇博客文章，描述了區塊鏈投票的風險和前景。這篇文章特別描述了區塊鏈和EDCC（也稱為智能合約），并指出“智能合約不僅有利于舉行選舉，也有利于賄選”。該團隊表示正在研究這一問題的解決方案，還將撰寫更正式的論文。[2018/9/18]

研究人員在代碼上線一周后，將該bug的存在告知了庫開發者。但是，由于它是在一個開源庫中發現的，所以其他交易所在運營中仍有可能使用它。

第二種情況是黑客利用密鑰輪換過程中的缺陷。在這里，如果用戶和交易所相互之間的所有聲明的驗證失敗，可能會讓流氓交易所在多次密鑰刷新中提取其用戶的私鑰，奪取其加密資產的控制權。

同樣，這個bug也是在一家大型管理公司開發的開源庫中發現的，研究人員沒有透露該公司的名字。

第三類攻擊可能發生在受信任方最初推導出他們的密鑰段，生成隨機數，然后公開驗證和測試，供以后使用。

研究人員發現，作為這個過程的一部分，加密交易所Binance開發的一個開源庫中的協議未能檢查這些隨機數。

這個問題可能會讓密鑰生成程序中的流氓方利用未能提取其他方的密鑰段。

Binance在3月份修復了這個錯誤，當時Binance呼吁用戶升級到新版本的"tss-lib"庫。

Tags：區塊鏈ETH以太坊GAS區塊鏈怎么入手Ethereum Alpes以太坊最新價格行情美元TOGASHI

酷幣