危及ERC20智能合約、讓代幣價值歸零的溢出漏洞到底是什么？_TEDDY

7月8日下午，降維安全實驗室監控到，以太坊智能合約AMR存在高危風險交易。團隊對代碼進行分析，發現其中存在的整數溢出漏洞已被人惡意利用，導致AMR大量增發。今年4月份，攻擊者也曾利用該漏洞攻擊美圖合作的美鏈BEC，導致市場上頓時出現海量BEC，貨幣價值幾乎歸零。那么，整數溢出漏洞是什么？可以從我們熟悉的登陸密碼說起。程序怎么判斷用戶輸入密碼的正誤呢？后臺的操作是這樣的，先讓用戶輸入密碼，然后再調取真正的密碼，與之對比，如果差異為0，則輸出密碼正確，否則錯誤。這在用戶輸入正確密碼或錯誤密碼時都很好判斷。但是，由于后臺留給密碼的存儲空間是有限的，如果此時用戶輸入的數據超出4個字節，那么將會出現字符溢出。如果程序事先沒有被設置對溢出進行判斷的話，溢出的字符將使系統報錯或關閉。我們再來看此次整數溢出漏洞的缺陷代碼片段：該片段出現在一個叫“multiTransfer”的函數中，函數的作用是讓一個地址可以同時給多個地址轉賬。問題代碼中的totalTokensToTransfer計算出一共要支出的幣的總量，tokens是最終給每個地址轉賬的金額。由于項目方給totalTokensToTransfer變量賦值時未進行溢出判斷，導致當tokens參數非常大時，totalTokensToTransfer變量進行數次計算后溢出為溢出值，系統即認為本次轉賬總金額為溢出后的值，由此便繞過余額檢查的步驟繼續完成交易，但實際上其轉賬金額遠大于錢包所含金額。于是系統憑空轉出巨額代幣，黑客將其在市場上拋售獲利。今年6月份，安比實驗室對以太坊上部署的合約進行的分析檢測，發現共有866個合約存在相同問題。為什么會存在這些漏洞呢？Bcsec安全團隊表示，這類漏洞本質是由于編程人員的疏忽造成的，之所以在以太坊ERC20中較大規模蔓延，是由于很多新上線的合約直接copy自一些合約模板，而未對其進行嚴格的安全評估，因此新項目如要使用應盡量確保其合約的安全性，才可以代表資產進行交易。我是作者黃雪姣，區塊鏈項目報道/交流可加微信hxjiapg，勞請備注職務和事由。

Web3軟件公司Lucky Friday推出了Teddy DAO:金色財經報道，Web3軟件公司Lucky Friday推出了Teddy DAO，這是一種永久NFT集合，它將其銷售收益捐贈給慈善機構。Teddy DAO 與全球籌款組織JustGiving合作，旨在利用加密貨幣作為籌資機制來促進全球社會影響。

從6月23日開始，Teddy DAO將每天為其Teddy NFT之一舉行拍賣，這些Teddy由數字藝術家Yumi創作，并在跨鏈智能合約平臺Moonbeam上鑄造。然后，拍賣贏家可以將收益捐給JustGiving支持的400家慈善機構之一，然后將加密貨幣轉換為法幣并通過該平臺進行捐贈。[2023/6/21 21:50:41]

MEV Capital推出一個新的數字資產對沖基金:金色財經報道，MEV Capital推出一個新的數字資產對沖基金“MEV Capital Stablecoin High-Yield Fund SP”，該基金基于數字資產部署和監控趨勢不可知的策略，遵循“開放式結構，并在開曼群島金融管理局 (CIMA) 注冊，并由CIMA批準的審計師審計。該基金本月開始認購并以USDC計價，目標是到2023年達到1.3億美元的資金。

此外，MEV資本管理公司正在尋求在今年晚些時候為ETH計價的策略開設一個高收益基金，并將其擴展到其他Layer 2網絡。[2023/6/10 21:27:15]

數據：目前質押的ETH中只有31%處于盈利狀態:金色財經報道，根據Binance Research的數據，自以太坊Beacon Chain(信標鏈)于2020年12月上線以來，已有超過1650萬個ETH（價值277億美元）被質押，其中31%或511.5萬個ETH盈利，其余1138.5萬個ETH處于虧損狀態。其中有相當數量的ETH（約200萬）以400美元至700美元的價格被質押，這代表了2020年12月最早的質押者。[2023/2/16 12:11:44]

Tags：TEDDYTOTETHTEDteddy幣官網TOTEM價格ETHSHIB價格Animal Friends United

TRX