编者按:本文来自数字彗星科技,星球日报经授权发布。针对前段时间EOS漏洞问题,本文将进行整体细节的回顾,希望大家提起安全意识,但也不要过度恐慌,正确看待安全问题。一、事件概述6月22日凌晨,EOS官方社区发布消息称:发现EOS漏洞,用户抵押投票的代币在漏洞修复之前都无法赎回。随后我们根据相关消息对该漏洞进行验证确认该漏洞确实存在,且在漏洞修复前,通过精心构造的攻击使得特定用户资产进行无限期抵押,无法赎回。我们知道EOS采用DPoS共识机制,该机制通过社区投票选举21个超级节点来维护EOS网络,为EOS网络提供算力、带宽以及存储支持。用户投票不需消耗EOS,但EOS会被锁定。用户可以随时申请赎回抵押的EOS,申请赎回后72小时后到账,同时,投票将被扣减。此次漏洞事件发生在EOS赎回过程中,如果其他用户抵押EOS给赎回用户,系统首先将赎回用户赎回过程中的EOS进行再次抵押。我们已经知道申请赎回的EOS需要72小时才能到账,如前所诉,通过精心构造的攻击理论上使得指定用户资产进行无限期抵押,对用户造成严重危害。二、漏洞攻击流程1.假设被攻击用户拥有0.0005个正在赎回途中EOS。
Litentry:正致力于利用直接调用增强IdentityHub用户体验,更多细节即将公布:6月20日消息,波卡生态身份协议Litentry发推称,直接调用(direct invocation)是我们一直致力于增强IdentityHub整体用户体验的一种解决方案。通过允许用户使用EVM密钥对而不是Substrate地址创建IDGraphs和生成凭证,改进了现有流程,同时保留了Litentry Parachain提供的隐私和好处。有关此项进展的更多细节即将公布。
此前4月6日消息,Litentry宣布推出IdentityHub Alpha,其将隐私和安全放在首位的身份管理工具。IdentityHub (IDHub) Alpha使用户能够链接他们的身份、维护信任评分并生成可验证的凭证,以控制对区块链应用程序的访问和数据共享。[2023/6/20 21:49:33]
2.此时攻击者向赎回用户抵押0.0001个EOS。
声音 | 欧盟官员:仍需更多细节以监管Libra:金色财经报道,欧盟委员会执行副主席Valdis Dombrovskis周二发布的备忘录显示,欧盟仍在努力解决Libra的问题。根据他的说法,Libra尤其 “缺乏细节”。 Dombrovskis称,由于Libra仍然是一个项目,因此也是一个不断发展的目标,其所提供的信息仍然不足以确定Libra的确切性质,进而无法确定其与现行欧盟法律的关系。欧盟委员会希望“迅速采取行动”,为Libra、稳定币和其他欧盟加密资产项目制定法规。[2020/2/20]
3.交易生效后,我们看到攻击者的余额没有发生变化,而赎回用户正在赎回途中的0.0001个EOS被迫再次进行抵押。
动态 | 赵长鹏公布币安慈善机制构建细节:赵长鹏发推特并在Mmedium上公布了其100%慈善机制构建思路细节,包括“3层或4层捐赠跟踪系统”、“培训用户使用钱包转账功能”、“身份认证和认证志愿者网络”等内容。并在推特上表示,愿意倾听有志之士的想法,如果其系统能够完成币安所描述的细节,或者有人愿意为实施这个系统做出贡献。[2018/10/9]
三、漏洞原理解析攻击流程图中的攻击命令如下:cleos--wallet-urlhttp://localhost:6666--urlhttp://mainnet.genereos.io:80systemdelegatebw(attacker)(victim)"0.0001EOS""0.0000EOS"--transfer由于攻击者在调用命令时加入了--transfer参数,在调用到抵押函数delegatebw时会调用changbw函数,此时transfer为true
当transfer变量为true时,from地址变成被攻击对象的地址,
接下来被攻击对象的数据被修改,EOS再次抵押,
四、漏洞缓解方案综合以上分析,本文建议修改部分业务逻辑缓解和修复该抵押漏洞。1.transfer参数不管是否为true,都应该直接在抵押发起方余额中扣除;2.梳理相关业务逻辑,审查是否存在类似漏洞。五、漏洞分析总结通过以上分析,通过精心构造的攻击使得特定用户资产进行无限期抵押,无法赎回。利用缓解方案的措施修补代码能够有效缓解和修复该漏洞。
对于加密投资者来说,2018年可能不是最好的一年,仍有不少“玩家”在踊跃入场。最近,有硅谷富豪使用比特币购买了价值数百万美元的昂贵手表、钻石等奢侈品.
今日,币安CEO赵长鹏发布微博指责挖矿交易所,直指“挖矿交易所不会一直火下去,因为只有傻子才会一直成为挖矿交易所的信仰者”.
头条 旧金山首个“区块链音乐节”开启售票旧金山首个“区块链音乐节”开启售票。该音乐节门票销售是由区块链技术支持的。此外,该音乐节计划于今年秋季推出自己的加密货币OMF.
7月5日消息,星球日报获悉,由京东自主研发的区块链即服务平台即将正式上线,全球区块链防伪追溯联盟主链即将在8月初正式上线.
编者按:本文来自哈希派,作者:哈希派,星球日报经授权转发。我们一直都有在做跟踪比特币区块链转账数据的工作,而进入2018年7月后,我们突然发现大额的异常转账突然多了起来,比如下面这几个:7月29.
根据btcmanager消息称,小米公司香港上市前夕,Blackmoon公司宣布要发起ICO项目,将募集来的资金参与小米的IPO。然而小米发言人称,小米公司对此毫不知情.