链资讯 链资讯
Ctrl+D收藏链资讯

LIT:以太坊网络君士坦丁堡升级的漏洞细节_Ethereum Gas Limit

作者:

时间:

即将到来的以太坊网络Constantinople升级为SSTORE操作引入了更便宜的gas成本。作为一种不必要的副作用,当在Solidity智能合约中使用address

functiondeposit(uintid)publicpayable{deposits+=msg

functionupdateSplit(uintid,uintsplit)public{require(split<=100);splits=split;}functionsplitFunds(uintid)public{//Herewouldbe://Signaturesthatbothpartiesagreewiththissplit//Splitaddresspayablea=first;addresspayableb=second;uintdepo=deposits;deposits=0;a

GSR分析师:预计以太坊期货ETF需求上限约为10亿美元:金色财经报道,做市商GSR的研究分析师Matt Kunke表示,预计以太坊期货ETF需求上限约为10亿美元,为现货ETF预期的一小部分。[2023/8/19 18:09:51]

}<新的易受攻击代码的示例>该代码以一种意想不到的方式受到攻击:它模拟一种安全的资金均摊服务。双方可以共同接收资金,决定如何split资金以及接收支付。攻击者可以创建这样一对地址,其中第一个地址是以下列出的攻击者合约,第二个地址是任何攻击者账户。该攻击者将充值一些钱。pragmasolidity^0

functionattack(addressa)external{victim=a;PaymentSharerx=PaymentSharer(a);x

数据:以太坊DeFi借贷协议24小时清算量为1560万美元:据DeBank数据显示,因以太坊价格波动,近24小时以太坊上借贷协议的清算量达1560万美元。其中AAVEV2上的清算量达812万美元排名首位,排名第二位的Compound为456万美元,当前以太坊上借贷协议总借款额为170亿美元。[2021/6/22 23:57:31]

function()payableexternal{addressx=victim;assembly{mstore(0x80,0xc3b18fb600000000000000000000000000000000000000000000000000000000)pop(call(10000,x,0,0x80,0x44,0,0)。functiondrain()external{owner

以太坊隐私协议Tornado Cash关停DAO基金Tornado Fund:以太坊隐私协议Tornado Cash宣布关停DAO基金 Tornado Fund,此决定是和 OpenLaw 商讨后共同决定,原因在于 Tornado Fund 仅提供给合格的投资者使用,导致潜在 DAO 的参与者数量有限。[2020/9/20]

}<攻击者合约列为第一个地址>该攻击者将调用自己合约的attack函数,以便在一个交易中披露以下的事件:1、攻击者使用updateSplit设置当前split,以确保后续升级是便宜的。这是Constantinople升级的结果。攻击者以这样的方式设置split,即第一个地址(合约地址)接收所有的资金。2、攻击者合约调用splitFunds函数,该函数将执行检查*,并使用transfer将这对地址的全部存款发到合约。3、从回调函数,攻击者再次更新split,这次将所有资金分配到攻击者的第二个账户。4、splitFunds的执行继续,全部存款也转到第二个攻击者账户。简而话之,攻击者只是从PaymentSharer合约中偷走了其他人的以太币,并且可以继续。为什么现在可以攻击?

声音 | 以太坊开发人员:挖矿算力和节点不足以运行正确的版本导致意外分叉:据cryptoglobe报道,以太坊未能在Ropsten测试网上正确运行并导致意外分叉。以太坊开发人员Afri Schoedon对此评论称,没有足够的挖矿算力,并且没有足够的节点运行正确的版本,似乎是意外分叉的因素。据悉,如果以太坊升级成功将是POW挖矿的奖励从3个降为2个。[2018/10/18]

在Constantinople之前,每个storage操作都需要至少5000gas。这远远超过了使用transfer或send来调用合约时发送的2300gas费。在Constantinople之后,正在改变“dirty”存储槽的storage操作仅需要200gas。要使存储槽变的dirty,必须在正在进行的交易期间更改它。如上所示,这通常可以通过攻击者合约调用一些改变所需变量的public函数来实现。然后,通过使易受攻击的合约调用攻击者合约,例如,使用msg.sender.transfer(...),攻击者合约可以使用2300gas费成功操纵漏洞合约的变量。必须满足某些先决条件才能使合同变得易受攻击:1.必须有一个函数A,函数中transfer/send之后,紧跟状态改变操作。这有时可能是不明显的,例如第二次transfer或与另一个智能合约的互动。2.攻击者必须能够访问一个函数B,它可以(a)改变状态,(b)其状态变化与函数A的状态发生冲突。3.函数B需要在少于1600gas时能执行(2300gas费-为CALL提供700gas)。我的合约是否易受攻击?要测试您是否容易受到攻击:检查transfer事件后是否有任何操作。检查这些操作是否改变了存储状态,最常见的是分配一些存储变量。如果你调用另一个合约,例如,token的transfer方法*,检查哪些变量被修改。做一个列表。检查合约中非管理员可以访问的任何其他方法是否使用这些变量中的一个。检查这些方法是否自行改变存储状态。检查是否有低于2300gas的方法,请记住SSTORE操作只有200gas。如果出现这种情况,攻击者很可能会导致您的合约陷入不良状态。总的来说,这是另一个提醒,即为什么Checks-Effects-Interactions模式如此重要。作为节点运营商或矿工,我需要做什么?

下载最新版本的以太坊客户端:最新的geth客户最新的Parity客户端最新Harmony客户端最新的万神殿客户端最新的Trinity客户端以太坊钱包/迷雾的最新版本|作者:ChainSecurity|翻译:猎豹区块链安全团队

标签:LITGASCTIFUNELIT价格Ethereum Gas LimitContractiumBETX.FUN

中币交易所热门资讯
区块链:AI、区块链 & 马克思、卡夫卡_polkawallet钱包下载

编者按:本文来自蓝狐笔记,作者:ErmanAkdogan,编译:Leo,星球日报经授权发布。前言:区块链和人工智能是未来世界的两大技术基石.

加密货币:机构投资者如何改变加密货币市场_ALL

本文编译自:Bitcoin.com,HowInstitutionalInvestorsAreChangingtheCryptocurrencyMarket,作者:TanzeelAkhtar.

ETH2:外媒盘点:2018年最差劲的6家加密货币交易所_ETH2.0

对于专注于加密货币领域的项目而言,2018年是一个真正的考验。传奇投资家沃伦·巴菲特(WarrenBuffett)尽管年事已高,在选择资产时也有自己的价值投资理论,他曾言:"只有当潮水.

ETH2:大神给你介绍以太坊2.0是什么?分成几个阶段?_Catecoin

编者按:近日,“以太坊君士坦丁堡分叉”成为区块链领域热门话题,而作为以太坊的计划替代方案,真正的“硬菜”——ETH2.0也将逐渐揭开面目.

ETH:理智与情感:通证经济设计案例研究_TOKE

本文原载:块连线,作者:Rafael亚当斯密在1776年出版的《国富论》里说过:Itisnotfromthebenevolenceofthebutcher,thebrewer.

TOK:星球日报 | 以太坊区块奖励下降35%;澳本聪自证是中本聪遭质疑;美SEC报告:ICO可作为证券发行_BTC

头条 以太坊每日区块奖励总量降至历史最低点随着以太坊逐渐进入冰河期,挖矿难度不断加大。2月10日的数据显示,每日新挖出的以太坊总量已经从20000个减少到了13000个,下降了近一半,降至历史最.