木星链 木星链
Ctrl+D收藏木星链
首页 > PEPE > 正文

LIT:以太坊网络君士坦丁堡升级的漏洞细节

作者:

时间:1900/1/1 0:00:00

即将到来的以太坊网络Constantinople升级为SSTORE操作引入了更便宜的gas成本。作为一种不必要的副作用,当在Solidity智能合约中使用address

functiondeposit(uintid)publicpayable{deposits+=msg

functionupdateSplit(uintid,uintsplit)public{require(split<=100);splits=split;}functionsplitFunds(uintid)public{//Herewouldbe://Signaturesthatbothpartiesagreewiththissplit//Splitaddresspayablea=first;addresspayableb=second;uintdepo=deposits;deposits=0;a

以太坊上Alpha Homra流动性挖矿计划将延长至4月11日结束:3月8日,Alpha Finance官方发文宣布,以太坊上的Alpha Homora V1和V2的流动性挖矿计划将继续进行。现有流动性挖矿计划将于3月12日晚上8点结束,而届时该计划将再延长30天,即延长至4月11日晚上8点结束。[2021/3/8 18:24:16]

}<新的易受攻击代码的示例>该代码以一种意想不到的方式受到攻击:它模拟一种安全的资金均摊服务。双方可以共同接收资金,决定如何split资金以及接收支付。攻击者可以创建这样一对地址,其中第一个地址是以下列出的攻击者合约,第二个地址是任何攻击者账户。该攻击者将充值一些钱。pragmasolidity^0

数据:当前以太坊上DeFi协议总锁仓量约合172.6亿美元:据欧科云链OKLink数据显示,截至今日18时,以太坊上DeFi协议总锁仓量约合172.6亿美元。其中排名前三的分别是Maker 26.8亿美元(-2.99%),WBTC 23.8亿美元(+2.69%)以及Compound 17亿美元(+0.01%)。[2020/11/25 22:06:24]

functionattack(addressa)external{victim=a;PaymentSharerx=PaymentSharer(a);x

function()payableexternal{addressx=victim;assembly{mstore(0x80,0xc3b18fb600000000000000000000000000000000000000000000000000000000)pop(call(10000,x,0,0x80,0x44,0,0)。functiondrain()external{owner

V神对Galaxy Digital创始人在早期购买以太坊表示感谢:针对Galaxy Digital创始人Mike Novogratz透露从V神手中购买50万枚以太坊一事,V神在推特表示,这是向以太坊基金会购买,而不是我个人。我感谢Novogratz和其他早期购买ETH的买家。如果没有他们,也许以太坊基金会在经济上不会幸存下来,以太坊的发展也会更加艰难。[2020/11/17 21:06:01]

}<攻击者合约列为第一个地址>该攻击者将调用自己合约的attack函数,以便在一个交易中披露以下的事件:1、攻击者使用updateSplit设置当前split,以确保后续升级是便宜的。这是Constantinople升级的结果。攻击者以这样的方式设置split,即第一个地址(合约地址)接收所有的资金。2、攻击者合约调用splitFunds函数,该函数将执行检查*,并使用transfer将这对地址的全部存款发到合约。3、从回调函数,攻击者再次更新split,这次将所有资金分配到攻击者的第二个账户。4、splitFunds的执行继续,全部存款也转到第二个攻击者账户。简而话之,攻击者只是从PaymentSharer合约中偷走了其他人的以太币,并且可以继续。为什么现在可以攻击?

行情 | 过去24小时以太坊总交易额约292.90万ETH:根据amberdata.io数据显示,过去24小时以太坊总交易额为292.90万ETH,较此前数据上升7.54%;日活跃用户量262955,用户活跃上升26.84%;新增合约36033个,较此前数据上升109.98%;平均交易费用为13.11GWEI,下降31.92%;通证代币交易总额为777286,较此前数据下降21.35%。[2019/6/22]

在Constantinople之前,每个storage操作都需要至少5000gas。这远远超过了使用transfer或send来调用合约时发送的2300gas费。在Constantinople之后,正在改变“dirty”存储槽的storage操作仅需要200gas。要使存储槽变的dirty,必须在正在进行的交易期间更改它。如上所示,这通常可以通过攻击者合约调用一些改变所需变量的public函数来实现。然后,通过使易受攻击的合约调用攻击者合约,例如,使用msg.sender.transfer(...),攻击者合约可以使用2300gas费成功操纵漏洞合约的变量。必须满足某些先决条件才能使合同变得易受攻击:1.必须有一个函数A,函数中transfer/send之后,紧跟状态改变操作。这有时可能是不明显的,例如第二次transfer或与另一个智能合约的互动。2.攻击者必须能够访问一个函数B,它可以(a)改变状态,(b)其状态变化与函数A的状态发生冲突。3.函数B需要在少于1600gas时能执行(2300gas费-为CALL提供700gas)。我的合约是否易受攻击?要测试您是否容易受到攻击:检查transfer事件后是否有任何操作。检查这些操作是否改变了存储状态,最常见的是分配一些存储变量。如果你调用另一个合约,例如,token的transfer方法*,检查哪些变量被修改。做一个列表。检查合约中非管理员可以访问的任何其他方法是否使用这些变量中的一个。检查这些方法是否自行改变存储状态。检查是否有低于2300gas的方法,请记住SSTORE操作只有200gas。如果出现这种情况,攻击者很可能会导致您的合约陷入不良状态。总的来说,这是另一个提醒,即为什么Checks-Effects-Interactions模式如此重要。作为节点运营商或矿工,我需要做什么?

下载最新版本的以太坊客户端:最新的geth客户最新的Parity客户端最新Harmony客户端最新的万神殿客户端最新的Trinity客户端以太坊钱包/迷雾的最新版本|作者:ChainSecurity|翻译:猎豹区块链安全团队

标签:LIT以太坊GASFUNLITTLEDOGE以太坊价格美元实时ugas币怎么找不到了IFUND价格

PEPE热门资讯
COI:Coinbase为散户投资者开通币币交易通道,熊市下的自救之举?

据coindesk报道,Coinbase日前宣布,Coinbase的散户投资者可以使用币币交易功能,该功能此前一直只对其专业的机构投资者可用.

1900/1/1 0:00:00
区块链:吴晓波:区块链将在未来两年改变很多社会要素

吴晓波年终秀2018年12月30日,以“预见2019:国运70”为主题的吴晓波年终秀在珠海横琴举行.

1900/1/1 0:00:00
区块链:为什么分叉对区块链发展至关重要?

分叉是区块链体验的核心,类似于系统升级。“分叉”一条链,本质上就是要对运行区块链的软件做出改变。根据不同的情况,分叉所引发的问题也非常多,有的很快能够达成共识,有的则极具争议.

1900/1/1 0:00:00
GAS:有Gas费是成本,无Gas费导致刷量?

编者按:本文来自鲸准研究院,作者J&CCapital,Odaily星球日报经授权转载。下半年整个市场逐渐进入熊市,新型公链项目数急剧减少,去年和今年上半年出现的公链的主网纷纷上线,各方围.

1900/1/1 0:00:00
区块链:区块链上的现金流-可编程债券(三步曲)

区块链上的现金流-可编程债券CashflowontheBlockchain作者:JesusRodriguez@Invectorlabs翻译:Apatheticco@巴比特专栏编译&制图:.

1900/1/1 0:00:00
区块链:飞雪迎春:市场冰封,行业不冷——区块链行业2018年度盘点

通证通研究院×FENBUSHIDIGITAL联合出品文:宋双杰,CFA;田志远特别顾问:沈波,Rin导读本文系统回顾了2018年区块链行业发展情况.

1900/1/1 0:00:00