7月8日下午,降维安全实验室监控到,以太坊智能合约AMR存在高危风险交易。团队对代码进行分析,发现其中存在的整数溢出漏洞已被人恶意利用,导致AMR大量增发。今年4月份,攻击者也曾利用该漏洞攻击美图合作的美链BEC,导致市场上顿时出现海量BEC,货币价值几乎归零。那么,整数溢出漏洞是什么?可以从我们熟悉的登陆密码说起。程序怎么判断用户输入密码的正误呢?后台的操作是这样的,先让用户输入密码,然后再调取真正的密码,与之对比,如果差异为0,则输出密码正确,否则错误。这在用户输入正确密码或错误密码时都很好判断。但是,由于后台留给密码的存储空间是有限的,如果此时用户输入的数据超出4个字节,那么将会出现字符溢出。如果程序事先没有被设置对溢出进行判断的话,溢出的字符将使系统报错或关闭。我们再来看此次整数溢出漏洞的缺陷代码片段:该片段出现在一个叫“multiTransfer”的函数中,函数的作用是让一个地址可以同时给多个地址转账。问题代码中的totalTokensToTransfer计算出一共要支出的币的总量,tokens是最终给每个地址转账的金额。由于项目方给totalTokensToTransfer变量赋值时未进行溢出判断,导致当tokens参数非常大时,totalTokensToTransfer变量进行数次计算后溢出为溢出值,系统即认为本次转账总金额为溢出后的值,由此便绕过余额检查的步骤继续完成交易,但实际上其转账金额远大于钱包所含金额。于是系统凭空转出巨额代币,黑客将其在市场上抛售获利。今年6月份,安比实验室对以太坊上部署的合约进行的分析检测,发现共有866个合约存在相同问题。为什么会存在这些漏洞呢?Bcsec安全团队表示,这类漏洞本质是由于编程人员的疏忽造成的,之所以在以太坊ERC20中较大规模蔓延,是由于很多新上线的合约直接copy自一些合约模板,而未对其进行严格的安全评估,因此新项目如要使用应尽量确保其合约的安全性,才可以代表资产进行交易。我是作者黄雪姣,区块链项目报道/交流可加微信hxjiapg,劳请备注职务和事由。
3亿枚XRP从Ripple托管中解锁:金色财经报道,Whale Alert监测显示,3小时48分钟前有3亿枚XRP(约154,588,369 美元)从 Ripple 的托管中解锁。[2023/6/1 11:52:02]
FTX Behemoth将1亿枚XRP转移至Binance地址:金色财经报道,Whale Alert检测显示,在22小时前,FTX Behemoth将1亿枚XRP转移到了一个标记为“未知”的钱包中。根据转账时的 XRP/USD 汇率,该笔金额相当于51,958,683美元。据Behemoth以XRP为重点的跟踪器提供的数据显示,收件人钱包是Binance加密地址。[2022/10/12 10:31:46]
DigiDaigaku系列NFT近24小时交易额涨幅达370.49%:金色财经报道,据NFTGo最新数据显示,DigiDaigaku系列NFT过去24小时的交易额为153,486美元,增长率为370.49%。截至发稿时,NFTGo数据显示,DigiDaigaku地板价为6.67ETH,24小时跌幅为21.11%。[2022/9/8 13:17:02]
StarMaker互联网时代的黄金准则之一,是长尾定律,即细分消费者,创造利基小众市场。分享经济大行其道之下,生产者和消费者被重新定义,一个用户既是信息服务的消费者,也是生产者,无论是当前火热的.
本文来自:链闻ChainNews,原作者:MichaelIppolito,翻译:LynnLee,星球日报经授权转发。在机构投资加密资产的路上,风投走在了最前头.
7月23日消息,根据自媒体“IPO早知道”报道,比特大陆在6月底刚刚完成由红杉领投的120亿美元估值融资后,正在进行新一轮Pre-IPO轮融资,计划融资10亿美元,投后估值150亿美元.
本文来自:infoQ,作者:KentWeare,星球日报经授权转发。在最近的一篇Hyperledger博文中,MonetaGo首席执行官JesseChenard讨论了区块链如何准备重塑传统业务流.
美国时间周二,“全球税务执法联合主席(J5)”宣布成立,J5旨在通过联合调查和执法行动,打击包括加密货币在内的跨境金融犯罪.
星球日报获悉,云计算领域公链Ankr于近日获得了来自九鼎JLab、DFG、丹华资本、Pantera、NEOGlobalCapital、OK资本、UpHonest、BlockVC、节点资本、Lin.
链资讯