2019年1月15日,ChainSecurity在Medium上发表了一篇题为ConstantinopleenablesnewReentrancyAttack的文章,文中通过代码示例的方式,阐述了一些智能合约代码在君士坦丁堡升级之后容易受到重入式攻击(re-entrancyattack)。文章链接:
https://medium.com/chainsecurity/constantinople-enables-new-reentrancy-attack-ace4088297d9
文章中阐述道:
即将到来的以太坊君士坦丁堡升级将实现某些SSTORE操作从而消耗更少的gas费用。但是在Solidity智能合约中使用address.transfer(...)或address.send(...)函数将可能引发重入式攻击。以前,这些函数被认为是可以抵御重入式攻击的,但现在已不同往日。
之后,以太坊核心开发者和以太坊安全社区意识到了这一问题,正在开展相关的漏洞调查工作,并决定推迟君士坦丁堡硬分叉升级。此次升级原定于当以太坊区块高度到达7,080,000时进行,预计将于2019年1月16日到达该高度。与此同时,建议所有节点运营商、交易所、矿工和钱包服务提供商等,在区块高度到达7,080,000之前,升级至最新的Geth或Parity版本。
彭博社:Gary Wang对于SBF来说是比Caroline Ellison更危险的证人:12月26日消息,彭博社近日刊文分析称,与Alameda Research前首席执行官Caroline Ellison相比,FTX联合创始人Gary Wang对FTX的重要性要大得多,这使他成为SBF更危险的证人。此前SBF将FTX的倒闭归咎于Caroline Ellison,但这一辩护被Gary Wang的认罪协议削弱了。纽约前联邦检察官Sarah Paul表示:“我预计SBF将更难声称他不知道Gary Wang的所作所为。让这两名合作证人在审判中指证他,这将是非常有力的。”
Gary Wang和SBF的关系非常密切。Gary Wang和SBF第一次见面是在高中的数学夏令营,他们在麻省理工学院是室友。他们在加州伯克利合租一所房子时开始开发FTX,Gary Wang为于2019年推出的交易所编写代码。两人一起生活在香港,最近在巴哈马群岛。SBF拥有Alameda公司90%的股份,而Gary Wang只拥有10%的股份。Gary Wang一直担任Alameda的首席执行官,直到去年年底任命Caroline Ellison为首席执行官。
根据CFTC的指控,Gary Wang帮助创建了基础代码,使Alameda能够在FTX “保持无限的信用额度”,Wang还帮助创建了其他途径,使Alameda在平台上进行交易时具有不公平的优势,包括更快的执行时间。法律专家表示,转移到Alameda的钱很难解释为管理不善,而不是欺诈,他前同事的证词可能对SBF造成毁灭性打击。在其他案件中,面对这样的证人,被告试图扭转局面,把合作者描绘成真正的坏人,现在撒谎是为了保全自己。
此前12月22日消息,Alameda前CEO和FTX联创已分别对美检察官提出的刑事指控和美CFTC提出的欺诈指控认罪;美SEC指控Caroline Ellison和Gary Wang欺诈FTX投资者,两人已经同意两项和解协议。[2022/12/26 22:07:56]
为此,以太坊开发者HudsonJameson发文加以阐述,文章链接:
YFI创始人:SOS等新一代“空投”十分愚蠢,没有对于OpenSea等的权限:12月29日消息,YFI创始人Andre Cronje(AC)发推表示,SOS等新一代“空投”十分愚蠢。首先,用于OpenSea治理的SOS代币,对于OpenSea的权限为0,OpenSea可以不在乎,用户通过SOS的投票不会迫使OpenSea采用任何东西。它具有字面意义上的0权限,GAS用于ETH的DAO对任何东西都是0权限,甚至它的KPI会是什么样子?真正的技术需要时间,甚至比构建它的开发人员认为的要长得多。停止用注意力投票。[2021/12/29 8:12:59]
https://blog.ethereum.org/2019/01/15/security-alert-ethereum-constantinople-postponement/
Hudson在文章中给出的建议主要包括:
1、如果您只是与以太坊网络进行简单的交互,并不运行节点,则您不需要执行任何操作
2、矿工、交易所和节点运营商:
声音 | 孙宇晨发表公开信:对于区块链这场预备赛,我准备好了:今日,孙宇晨发表公开信“孙宇晨区块链自白”表示,“我一直认为区块链是互联网的2.0形态,互联网的1.0形态是信息网络,而2.0形态是价值网络。互联网第一步传播信息,就如同今天的互联网,第二步传播价值,价值包括通证,货币,股票,债券等所有人类的价值所有物。至今,我还觉得价值网络是比区块链更加贴切的词语。可以说,区块链将最终成为人类互联网的最终主流形态,成为自信息网络之后,人类互联网的又一大飞跃,对于这个未来,我从来没有过怀疑,即便最困难,公司也就还剩一个月现金流就将倒闭的夜晚,我也从来没有动摇过。互联网已经到了下半场,区块链却还没开始预备赛。对于即将打响的预备赛,我想说,我准备好了!”[2019/10/26]
当Geth和/或Parity客户端新版本发布后请及时进行更新;这些新版本尚未发布,发布之后的我们会及时公布更新链接和版本号及其说明;预计之后的3-4小时内会发布新版本。3、Geth客户端
将版本升级至1.8.21,或者降级至Geth1.8.19,或者维持在1.8.20版本,但需要使用开关‘override.constantinople=9999999’从而实现无限期延迟君士坦丁堡升级。4、Parity客户端
声音 | 中国计算机学会严明:区块链对于信息安全意义重大:据21世纪经济报道消息,在5月28日下午的“区块链创新技术高峰论坛暨思源区块链战略发布会”上,中国计算机学会计算机安全专业委员会主任严明指出,区块链对于信息安全意义重大。而2019年是中国信息安全工作的一个重要节点。他表示,区块链在信息共享、版权保护、鉴证证明、物流链、供应链金融、跨境支付、资产数字化、虚拟货币等方面都有良好的应用前景。但同时,区块链的发展还面临诸多问题和挑战,比如说,目前区块链底层技术还需不断完善和提升,区块链的应用虽已触及到政务服务、公共服务、物联网、智能制造、供应链管理、数字资产交易等多个领域,但区块链的可用性、实用性离广大个人用户还有一定距离。[2019/5/29]
升级至ParityEthereum2.2.7-stable稳定版本(推荐);升级至ParityEthereum2.3.0-beta测试版本;降级至ParityEthereum2.2.4-beta测试版本(不推荐)。5、其他
Ledger、Trezor、Safe-T、ParitySigner、WallEth、PaperWallets、MyCrypto、MyEtherWallet以及其他未通过同步和运行节点来参与到以太坊网络中的用户或代币持有者
领英:全球对于区块链人才的需求量呈爆发增长:领英2018年数据显示,全球对于区块链人才的需求量从2015年开始出现增长,并且在2016~2017年经历了爆发式的显著增长,其中对于区块链人才需求增长最快的行业是计算机软件行业,其次是金融服务&保险行业。此外,从2015年到2017年,在领英档案上标注有区块链相关技能的人才数量增长了近19倍。但人才总量仍然较少,仅相当于领英平台上全球AI人才数量的2%左右。从当前这类人才的全球分布来看,美国占据25%,其次是印度7%以及英国6%。而中国相关人才基数还较小,从目前的分布来看,主要集中在北京和上海。[2018/2/22]
你不需要做任何事情6、合约所有者
您无需要做任何事情;您可以选择对合约的潜在漏洞进行分析并检查您的合约;但是,您无需做任何事情,因为引发此潜在漏洞的变更将不会被启用。由于排除风险所需的时间预计将超过君士坦丁堡升级之前声誉的时间,因此以太坊开发者们决定推迟此次硬分叉升级。推迟至何时还尚不明确。
对于此次升级的延迟,以太坊社区成员们是如何看待的呢?我们来看一下Reddit上的以太坊社区r/ethereum中,社区成员对此此升级推迟的看法:
@CryptoOnly:推迟升级是明智之举。希望相关漏洞能够尽快解决,但我相信大多数人是愿意等待此次升级在适当的时间执行的。
@millerkm87:虽然我一直都非常期待此次升级,但推迟升级展现了以太坊社区是非常成熟的。虽有些不幸,但我更感谢漏洞被查出并被公之于众,同时采取了适当的措施来加以应对。感谢开发者们一直以来的孜孜奉献。
@SpacePirateM:感谢让社区成员能够及时了解这些问题,这有助于减少人们的FUD(惧惑疑)心理。我完全相信开发者们能够解决这些小问题。
@sandakersmann:伙计们,赶紧升级你们的节点!
@stevieyongieg:在区块链和智能合约领域,没有什么事情是容易实现的。重要的是ETH背后有着坚实的团队和基础。现在发现漏洞总比以后发现要好啊。
@UndeadWolf222:虽然有些失望,但感谢能够在主网升级之前发现(漏洞)。伙计们,继续加油吧。
@DexVitality:有些难过,又要推迟了。但鉴于可能存在重入式漏洞,推迟是完全有必要的...我想继续前行的同时...也许他们(开发者们)能有更多时间来讨论潜在的将PoW改变成ProgPoW,或者在确定硬分叉日期的时候可能提出其他的EIP,我的假设是此次推迟有可能将升级延迟至少1个月左右。
@superflyj416:有人能对此次推迟将持续多久做出有根据的猜测吗?需要几周还是几个月?你为什么这么认为呢?
@insomniasexx:确切的时间将可能于周五确定下来。不可能会延迟很长时间,因为难度炸弹已经被设置好了在某个时间爆炸。因此我觉得此次推迟有可能持续超过3天,但短于即将发生的难度炸弹期限,这是我能做出的最好的猜测。
@5chdn:我认为,延迟可能超过2个星期,但不会超过6个星期,这是我能做出的最好的猜测。
@neuromancer4867:我们又要回到(ETH)价格只有$80的时候了。这是最有可能的结果,但这依旧是一件很糟糕的事情。
@parasitemite:很有可能(ETH)价格会上涨到$200,因为这次事件是一个很好的结果,它向我们展现了以太坊团队不惧于迅速应对问题。
@psswrd12345:又再次延迟了,真的很难让人保持积极态度。导致这次无限期的推迟的原因,本应该在上一次延期的时候就检测出来。真的很失望。当然最好还是推迟,但现在真的很难保持信念了。这种感觉比当初的DAO分叉更灰暗...
@Stobie:@psswrd12345只是推迟几周而已,没那么严重。
@c-i-s-c-o:@psswrd12345构建去中心化web本就不是一朝可以实现的,不可能不存在挫折。要么习惯这些挫折,要么就把精力专注在那些不那么易变的事务上。
@consideritwon:质量帖。我想问几个问题...其他的操作也可能带来重入式攻击,而这通常是可以通过避免某些模式来加以应对的。一旦确认没有合约会受到影响,是否有意继续部署这个EIP并以这种方式处理重入式攻击?或者会重新变更EIP?其次,关于为何这么久之后才发现这一漏洞。是否有方法能够用来改进自动化检测,以此来发现诸如此类的问题?还是需要手动去检测问题?我们从中能够吸取什么教训呢?
@Xazax310:恰好我的问题也是,为何之前没有检测出这个问题?很高兴开发者们发现了这个漏洞,并在修复中。这可能只是一个小问题。
@vbuterin:@Xazax310我们遇到的所有非常讨人厌的问题都涉及到不同组件之间的交互。二次DoS攻击结合了EVM存储器和调用栈框架或返回和调用栈框架,这可能会增加风险,因为发送中的默认gas、SSTOREgas成本和重入式问题之间存在交互。因此,如果你的协议有着N个功能,就存在N的二次方中方式来攻破这些功能。我想说,我个人从此次事件中学到的就是,需要对我们所编写的不变量(由协议保障的属性)要更加清楚明确,这样当事情发生变化时,我们才能更好地检查这些不变量。
@Xazax310:明白了,感谢你的解答。
本文来源于非小号媒体平台:
Unitimes独角时代
现已在非小号资讯平台发布1篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/3627114.html
以太坊ETH
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
下一篇:
Dash无惧51%算力攻击?其他PoW链如何自保?
币圈卧龙是谁?靠喊单狗狗币和熊猫币赚超一万个比特币?揭秘卧龙之书:欺诈游戏的艺术。原文标题:《卧龙——币圈历史上第二臭名昭著的喊单出货恶匪》 币圈卧龙是谁 PumpandDump,指交易者操纵加.
Vite项目于5月22日完成了VitePre-Mainnet,本次更新对Vite网络进行了重大升级,优化了测试网现有的数据结构及账本存储方案,有效提高了Vite公链的运行效率和稳定性.
根据推特用户planB最近的民意调查,在2500名参与者中,61%的人预计BTC价格会出现大幅上涨。由于挖矿奖励将减半,流通中发行的比特币将减少,这将使比特币比现在更加稀缺,因此价格应该会上涨.
据Cointelegraph和CCN报道,互联网安全提供商和研究机构迈克菲实验室11月12日发布一篇博客文章证实,其发现了一种新的恶意软件.
PlanB文 本文由币信原创编译,原文链接:https://medium.com/@100trillionUSD/modeling-bitcoins-value-with-scarcity-91.
据福布斯消息,俄罗斯加密挖矿公司CryptoUniverse计划于2019年年中在西伯利亚开设一家工厂。它不仅提供加密挖矿服务,还将成为人工智能、大数据和物联网空间运营企业的数据中心.