LIT:以太坊网络君士坦丁堡升级的漏洞细节

即将到来的以太坊网络Constantinople升级为SSTORE操作引入了更便宜的gas成本。作为一种不必要的副作用,当在Solidity智能合约中使用address

functiondeposit(uintid)publicpayable{deposits+=msg

functionupdateSplit(uintid,uintsplit)public{require(split<=100);splits=split;}functionsplitFunds(uintid)public{//Herewouldbe://Signaturesthatbothpartiesagreewiththissplit//Splitaddresspayablea=first;addresspayableb=second;uintdepo=deposits;deposits=0;a

以太坊侧链SKALE Q1报告:月均活跃用户为6.5万,每月节省逾1亿美元Gas费用:金色财经报道,以太坊侧链SKALE发布2023年Q1项目生态报告。在该季度,SKALE平均每个月有65000个活跃用户/钱包,促进了900多万笔交易,节省了超过1亿美元的Gas费用。自SKALE V2于2022年6月推出以来,该网络的使用量大幅增加,处理了来自415000多个独立钱包的6700多万笔交易。

具体而言,仅在2023年第一季度,SKALE就为SKALE和Web3社区节省了3.416亿美元的Gas费用(176355枚ETH)。[2023/4/29 14:34:48]

}<新的易受攻击代码的示例>该代码以一种意想不到的方式受到攻击:它模拟一种安全的资金均摊服务。双方可以共同接收资金,决定如何split资金以及接收支付。攻击者可以创建这样一对地址,其中第一个地址是以下列出的攻击者合约,第二个地址是任何攻击者账户。该攻击者将充值一些钱。pragmasolidity^0

以太坊EIP-4844的第五个开发测试网将于下周启动:4月22日消息,Galaxy 研究副总裁 Christine Kim 发布博客对第 107 次以太坊核心开发者共识会议进行总结。Christine Kim 表示,本次会议在对上海升级的成功进行简短确认后,便开始讨论 Deneb 的准备工作。其中,以太坊核心开发者 Tim Beiko 表示,EIP-4844 的第五个开发测试网将于下周某个时候启动。同时,共识会议上,开发者拟将 EIP-4788 与 3175 和 EIP-4844 一起纳入 Deneb 升级。

关于 EIP-6914,开发者同意继续敲定代码更改细节,并将其实施推到 Deneb 之后的硬分叉。此外,开发者讨论了信标链认证子网(attnets),Lighthouse(CL)客户端团队的 Adrian Manning 提出了一个将验证者节点订阅到长期的 attnets 解决方案,并表示此更改不必通过硬分叉来执行。[2023/4/22 14:19:48]

functionattack(addressa)external{victim=a;PaymentSharerx=PaymentSharer(a);x

以太坊开发者Virgil Griffith声称其并不知道被指控的具体罪名:12月11日消息,以太坊开发者Virgil Griffith的律师已于过去的一周提交了文件,声称他们仍然不知道Virgil Griffith到底是因为什么而被指控。根据该文件,关于Virgil Griffith被指控的具体内容仍然无法获得。文件指出,Virgil Griffith要求提供“详细资料”,说明他所提供的服务,具有有谁参与其中,以及这些服务到底如何违反了美国法律。此前消息,2019年11月29日,纽约南区美国检察官办公室和联邦调查局宣布,已逮捕并指控以太坊开发者Virgil Griffith违反美国制裁法。罪名是联邦政府指控他于4月非法前往朝鲜,并在“平壤区块链和加密货币会议”上作了陈述。(CoinDesk)[2020/12/11 14:57:39]

function()payableexternal{addressx=victim;assembly{mstore(0x80,0xc3b18fb600000000000000000000000000000000000000000000000000000000)pop(call(10000,x,0,0x80,0x44,0,0)。functiondrain()external{owner

以太坊看跌与看涨期权比率达到一年来最高水平:金色财经报道,由于投资者寻求收益率,以太坊期权市场的看跌与看涨期权比率(put-call ratio)被推至12个月以来的最高水平。该比率衡量了相对于未平仓看涨期权而言未平仓看跌期权的数量。加密衍生品研究公司数据提供商Skew表示,该比率于周四升至1.04。在过去的3个半月中,该指标几乎增至三倍,并且在过去的两周中从0.84上升到1.04。加密货币交易所Deribit的首席运营官Luuk Strijers表示,这通常意味着市场更加看跌,因为投资者正在买入看跌期权以保护他们的投资组合不受潜在资产下跌的影响。然而,在目前情况下,该比率上升的主要原因是看跌期权的卖出增加。[2020/7/4]

}<攻击者合约列为第一个地址>该攻击者将调用自己合约的attack函数,以便在一个交易中披露以下的事件:1、攻击者使用updateSplit设置当前split,以确保后续升级是便宜的。这是Constantinople升级的结果。攻击者以这样的方式设置split,即第一个地址(合约地址)接收所有的资金。2、攻击者合约调用splitFunds函数,该函数将执行检查*,并使用transfer将这对地址的全部存款发到合约。3、从回调函数,攻击者再次更新split,这次将所有资金分配到攻击者的第二个账户。4、splitFunds的执行继续,全部存款也转到第二个攻击者账户。简而话之,攻击者只是从PaymentSharer合约中偷走了其他人的以太币,并且可以继续。为什么现在可以攻击?

在Constantinople之前,每个storage操作都需要至少5000gas。这远远超过了使用transfer或send来调用合约时发送的2300gas费。在Constantinople之后,正在改变“dirty”存储槽的storage操作仅需要200gas。要使存储槽变的dirty,必须在正在进行的交易期间更改它。如上所示,这通常可以通过攻击者合约调用一些改变所需变量的public函数来实现。然后,通过使易受攻击的合约调用攻击者合约,例如,使用msg.sender.transfer(...),攻击者合约可以使用2300gas费成功操纵漏洞合约的变量。必须满足某些先决条件才能使合同变得易受攻击:1.必须有一个函数A,函数中transfer/send之后,紧跟状态改变操作。这有时可能是不明显的,例如第二次transfer或与另一个智能合约的互动。2.攻击者必须能够访问一个函数B,它可以(a)改变状态,(b)其状态变化与函数A的状态发生冲突。3.函数B需要在少于1600gas时能执行(2300gas费-为CALL提供700gas)。我的合约是否易受攻击?要测试您是否容易受到攻击:检查transfer事件后是否有任何操作。检查这些操作是否改变了存储状态,最常见的是分配一些存储变量。如果你调用另一个合约,例如,token的transfer方法*,检查哪些变量被修改。做一个列表。检查合约中非管理员可以访问的任何其他方法是否使用这些变量中的一个。检查这些方法是否自行改变存储状态。检查是否有低于2300gas的方法,请记住SSTORE操作只有200gas。如果出现这种情况,攻击者很可能会导致您的合约陷入不良状态。总的来说,这是另一个提醒,即为什么Checks-Effects-Interactions模式如此重要。作为节点运营商或矿工,我需要做什么?

下载最新版本的以太坊客户端:最新的geth客户最新的Parity客户端最新Harmony客户端最新的万神殿客户端最新的Trinity客户端以太坊钱包/迷雾的最新版本|作者:ChainSecurity|翻译:猎豹区块链安全团队

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

Gate交易所区块链:“反人性”的价值

编者按:本文来自蓝狐笔记,本文作者:蓝狐,Odaily星球日报经授权转载。这是一篇辞旧迎新的鸡汤文。2017年是魔幻现实的一年,2018年是一地鸡毛的一年.

FTXCOIN:KYC的前世今生及自我进化

本文来自神州数字,作者:孙茳涛,转载请注明作者和来源。两周以来,关于STO最大的风向就是中国监管部门的频频表态,继月初北京地方金融监管局,北京互联网金融协会表态北京不欢迎STO之后;本周末,中国.

[0:0ms0-0:918ms