木星链 木星链
Ctrl+D收藏木星链

TOK:危及ERC20智能合约、让代币价值归零的溢出漏洞到底是什么?

作者:

时间:1900/1/1 0:00:00

7月8日下午,降维安全实验室监控到,以太坊智能合约AMR存在高危风险交易。团队对代码进行分析,发现其中存在的整数溢出漏洞已被人恶意利用,导致AMR大量增发。今年4月份,攻击者也曾利用该漏洞攻击美图合作的美链BEC,导致市场上顿时出现海量BEC,货币价值几乎归零。那么,整数溢出漏洞是什么?可以从我们熟悉的登陆密码说起。程序怎么判断用户输入密码的正误呢?后台的操作是这样的,先让用户输入密码,然后再调取真正的密码,与之对比,如果差异为0,则输出密码正确,否则错误。这在用户输入正确密码或错误密码时都很好判断。但是,由于后台留给密码的存储空间是有限的,如果此时用户输入的数据超出4个字节,那么将会出现字符溢出。如果程序事先没有被设置对溢出进行判断的话,溢出的字符将使系统报错或关闭。我们再来看此次整数溢出漏洞的缺陷代码片段:该片段出现在一个叫“multiTransfer”的函数中,函数的作用是让一个地址可以同时给多个地址转账。问题代码中的totalTokensToTransfer计算出一共要支出的币的总量,tokens是最终给每个地址转账的金额。由于项目方给totalTokensToTransfer变量赋值时未进行溢出判断,导致当tokens参数非常大时,totalTokensToTransfer变量进行数次计算后溢出为溢出值,系统即认为本次转账总金额为溢出后的值,由此便绕过余额检查的步骤继续完成交易,但实际上其转账金额远大于钱包所含金额。于是系统凭空转出巨额代币,黑客将其在市场上抛售获利。今年6月份,安比实验室对以太坊上部署的合约进行的分析检测,发现共有866个合约存在相同问题。为什么会存在这些漏洞呢?Bcsec安全团队表示,这类漏洞本质是由于编程人员的疏忽造成的,之所以在以太坊ERC20中较大规模蔓延,是由于很多新上线的合约直接copy自一些合约模板,而未对其进行严格的安全评估,因此新项目如要使用应尽量确保其合约的安全性,才可以代表资产进行交易。我是作者黄雪姣,区块链项目报道/交流可加微信hxjiapg,劳请备注职务和事由。

隐私网络Iron Fish宣布推出主网:金色财经报道,隐私公链 Iron Fish 表示将于 PDT 时间 4 月 20 日 09:00(北京时间 4 月 21 日 00:00)启动主网,所有符合条件的测试网用户将获得空投。

Iron Fish 将在主网上线的创世区块中释放 4200 万枚 Token,Token 的总供应量上限为 256,970,400 枚。在最初释放的 4200 万枚 Token 中,测试网空投占比 2.25%;未来的空投占比 2.25%;Pre-Seed 轮投资者占比 5.1%;种子轮投资者占比 9.9%;A 轮投资者占比 14.5%;顾问占比 0.6%;核心团队占比 37.4%;IF Labs 占比 5%;用于未来捐赠的 Token 占比 5%;Iron Fish 基金会占比 18%。包括投资者、顾问和员工在内的人员分配的 Token 都将锁定 12 个月,再分为 12 个月进行释放。[2023/4/20 14:16:30]

Circle CSO澄清:公司未收到美SEC的韦尔斯通知:2月15日消息,Circle首席战略官兼全球政策负责人Dante Disparte在回应福克斯商业新闻记者Eleanor Terrett的推文时表示,Circle没有收到韦尔斯通知(Wells notice)。

此前,Terrett在推文中称,美国证券交易委员会(SEC)已经向包括Circle在内的几家美国稳定币公司发出了韦尔斯通知,命令他们停止销售未注册的证券。在收到Disparte的澄清后,Terrett也为此表示歉意。

据悉,“韦尔斯通知”是美国SEC对在美上市公司进行民事诉讼前发出的非正式提醒,接到通知的上市公司可以在收到正式诉讼前跟SEC进行沟通和协商。此前2月13日消息,稳定币发行商Paxos因BUSD收到韦尔斯通知,面临美SEC的诉讼。[2023/2/15 12:07:22]

Curve Finance单日交易额突破10亿美元:2月14日消息,据Curve Finance在社交媒体披露,其协议单日交易额突破10亿美元。此外,提供稳定币兑换服务的Curve(CRV)过去24小时内上涨了11%。

在Paxos的BUSD产品受到监管关注后,Curve(CRV)交易价格已升至1美元上方,虽然Curve尚未提供原生稳定币,但其即将推出的Curve USD(crvUSD)代币在加密货币市场中开始受到关注,

金色财经此前报道,Curve计划在今年六月部署美元挂钩资产,正在进行的提案将允许稳定币池向外部协议提供定价数据。(CoinDesk)[2023/2/14 12:05:49]

标签:TOKTOKENKENTOKEImmopet TokenSmart Game TokenMetis Tokentokencan交易所怎么样

火币网下载官方app热门资讯
区块链:韩国生物技术公司Macrogen与大数据公司合作创建区块链医疗平台

韩国生物技术公司Macrogen周一宣布,与大数据公司Bigster合作,采用区块链技术建立医疗平台。该平台是通过区块链技术,帮助各方安全地存储和交换基因组数据和其他类型的信息.

1900/1/1 0:00:00
比特币:比特币ETF“三进宫”,此次可能成功,比特币的主流之路?

据financemagnates消息,芝加哥期权交易所再次向SEC申请比特币ETF许可证。这只名为VanEckSolidXBitcoinTrust的基金此前曾2次申请比特币ETF,均已失败告终.

1900/1/1 0:00:00
加密货币:从积极监管到庞氏局:美国国会秘密听证会上发生了什么

编者按:本文来自链内参,星球日报经授权发布。7月18日,是加密货币行业的重要日子,因为美国国会两项关于加密货币的听证会在同日举行.

1900/1/1 0:00:00
COIN:海盗湾这次通知访问者用其CPU挖矿,是加密货币催生的商业模式还是挖矿劫持?

据Bitcoin报道,海盗湾再次使用用户的CPU挖门罗币Monero(XMR),来产生额外的收入。不过此次与往常不同的是,海盗湾会通知网站访问者,他们的CPU将会被用来挖门罗币XMR.

1900/1/1 0:00:00
区块链:“双挖矿模式”+按份额分红,「链汇」希望成为帮优质币种建设生态的交易所

交易所在区块链产业的早期,扮演着重要且特别的角色。作为项目方和用户的连接器,是整个行业竞争最激烈的战场.

1900/1/1 0:00:00
比特币:一文读懂隔离见证到底是什么?

要想理解隔离见证是什么,我们需要先来看下比特币。比特币是一个全球的分类账簿如果你把比特币看做是一个全球分类账簿,那么一笔比特币交易就像是一张银行支票。作为一笔钱的持有者,你可以把你的钱签给别人.

1900/1/1 0:00:00