以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > PEPE幣 > Info

細節!EOS抵押漏洞分析_EOS

Author:

Time:1900/1/1 0:00:00

編者按:本文來自數字彗星科技,星球日報經授權發布。針對前段時間EOS漏洞問題,本文將進行整體細節的回顧,希望大家提起安全意識,但也不要過度恐慌,正確看待安全問題。一、事件概述6月22日凌晨,EOS官方社區發布消息稱:發現EOS漏洞,用戶抵押投票的代幣在漏洞修復之前都無法贖回。隨后我們根據相關消息對該漏洞進行驗證確認該漏洞確實存在,且在漏洞修復前,通過精心構造的攻擊使得特定用戶資產進行無限期抵押,無法贖回。我們知道EOS采用DPoS共識機制,該機制通過社區投票選舉21個超級節點來維護EOS網絡,為EOS網絡提供算力、帶寬以及存儲支持。用戶投票不需消耗EOS,但EOS會被鎖定。用戶可以隨時申請贖回抵押的EOS,申請贖回后72小時后到賬,同時,投票將被扣減。此次漏洞事件發生在EOS贖回過程中,如果其他用戶抵押EOS給贖回用戶,系統首先將贖回用戶贖回過程中的EOS進行再次抵押。我們已經知道申請贖回的EOS需要72小時才能到賬,如前所訴,通過精心構造的攻擊理論上使得指定用戶資產進行無限期抵押,對用戶造成嚴重危害。二、漏洞攻擊流程1.假設被攻擊用戶擁有0.0005個正在贖回途中EOS。

FBI披露推特黑客事件偵破細節 Coinbase注冊信息暴露黑客身份:美國聯邦調查局(FBI)披露了偵破推特(Twitter)賬戶大規模被黑事件的更多細節。FBI表示,當局通過分析區塊鏈記錄,根據黑客發布的釣魚地址追蹤到了加密貨幣交易所Coinbase,兩名黑客Nima Fazeli和Mason Sheppard均使用了真實駕照信息注冊并驗證了其Coinbase賬戶,此外,Nima Fazeli在攻擊中還使用了自己的家庭IP,這使得調查人員可以很容易地追蹤到其位置。網絡安全專家Jake Williams表示,黑客的工作相當“馬虎”。

注:美國司法部本周五宣布,三名涉嫌參與著名社交網站推特(Twitter)賬戶大規模被盜事件的黑客Mason Sheppard、Nima Fazeli、Graham Clark已被起訴。(The Daily Mail)[2020/8/2]

2.此時攻擊者向贖回用戶抵押0.0001個EOS。

動態 | 比特大陸IPO細節曝光:去年凈利超11億美元 上市后預期估值300億美元以上:據全天候科技報道,從知情人處獲悉,比特幣礦機制造商比特大陸計劃于8月30日向香港聯交所提交初次上市申請表,并于2018年底完成上市。比特大陸規模5-10億美元的Pre-IPO輪融資將于近日交割。投資人名單中,騰訊、EDBI、阿布扎比投資局和加拿大養老基金等在冊,投后估值約為150億美元,亦有機構販賣至180億美元。上市后,比特大陸預期估值為300億美元以上,或將達到350億美元。據全天候科技獲悉的財報數據顯示,比特大陸2017年營業收入約25億美元,凈利潤超過11億美元。2016 年、2017 年,比特大陸凈利潤分別為0.97 億和11.8 億美元。[2018/7/25]

3.交易生效后,我們看到攻擊者的余額沒有發生變化,而贖回用戶正在贖回途中的0.0001個EOS被迫再次進行抵押。

俄羅斯:正在研究加密貨幣、代幣發行等細節,下月進行監管階段:日前,俄羅斯財政部稅務和海關政策部門負責人阿列克謝?薩扎諾夫(Alexey Sazanov)在起草的一份文件中表示:俄羅斯正在研究有關規則的最終細節,這些規則將首次明確加密貨幣、代幣發行融資等的地位,該行業將于下月進入監管階段。[2018/6/10]

三、漏洞原理解析攻擊流程圖中的攻擊命令如下:cleos--wallet-urlhttp://localhost:6666--urlhttp://mainnet.genereos.io:80systemdelegatebw(attacker)(victim)"0.0001EOS""0.0000EOS"--transfer由于攻擊者在調用命令時加入了--transfer參數,在調用到抵押函數delegatebw時會調用changbw函數,此時transfer為true

當transfer變量為true時,from地址變成被攻擊對象的地址,

接下來被攻擊對象的數據被修改,EOS再次抵押,

四、漏洞緩解方案綜合以上分析,本文建議修改部分業務邏輯緩解和修復該抵押漏洞。1.transfer參數不管是否為true,都應該直接在抵押發起方余額中扣除;2.梳理相關業務邏輯,審查是否存在類似漏洞。五、漏洞分析總結通過以上分析,通過精心構造的攻擊使得特定用戶資產進行無限期抵押,無法贖回。利用緩解方案的措施修補代碼能夠有效緩解和修復該漏洞。

Tags:EOSRANTRAANSDEOS GamesFranklinTraders CoinFANS幣

PEPE幣
V神眼中區塊鏈的治理機制(一)_區塊鏈

本文來自藍狐筆記,譯者李熙和,Odaily星球日報經授權轉載。前言:區塊鏈的治理是區塊鏈發展過程中最為重要的組成部分之一.

1900/1/1 0:00:00
Zcash上演戲劇性一幕,開發者威脅社區不給錢就自立門戶_CASH

本文來自:巴比特資訊,作者:Rachel,星球日報經授權轉發。盡管zcash的開發者們盡了最大的努力來保護這種加密貨幣即將進行的升級——“越冬”,但在這個星期,這個市值80億美元的區塊鏈網絡卻面.

1900/1/1 0:00:00
紐約區塊鏈創企Paxos完成6500萬美元B輪融資,今年或發布倫敦黃金市場結算平臺_加密貨幣

總部位于紐約的區塊鏈初創公司Paxos宣布完成了一筆6500萬美元的B輪融資,領投方為此前曾投資過該公司的LibertyCityVentures、RREVentures和JayJordan.

1900/1/1 0:00:00
全球第二大云公司SAP推出BaaS,與60多家企業探索區塊鏈應用_SAP

據zdnet消息,昨日,全球第二大云公司SAP推出BaaS,從而將該公司各種產品與區塊鏈技術進行整合.

1900/1/1 0:00:00
英特爾將與DApp平臺Enigma共同發布區塊鏈測試網絡_區塊鏈

據cointelegragh消息,英特爾將與DApp平臺Enigma共同發布區塊鏈測試網絡。Enigma是一家創業公司,去年9月完成了4500萬美元的ICO,該公司旨在為DApp創建一個更加私密.

1900/1/1 0:00:00
韓國銀行計劃從7月份起使用區塊鏈技術驗證客戶ID_區塊鏈

韓國銀行聯合會(KFB)周一公布,將于7月推出針對商業銀行的區塊鏈身份驗證系統——BankSign。這將使韓國銀行改進已使用了數十年的數字化身份驗證系統.

1900/1/1 0:00:00
ads