買比特幣 買比特幣
Ctrl+D 買比特幣
ads

TOK:危及ERC20智能合約、讓代幣價值歸零的溢出漏洞到底是什么?_SOLAPE Token

Author:

Time:1900/1/1 0:00:00

7月8日下午,降維安全實驗室監控到,以太坊智能合約AMR存在高危風險交易。團隊對代碼進行分析,發現其中存在的整數溢出漏洞已被人惡意利用,導致AMR大量增發。今年4月份,攻擊者也曾利用該漏洞攻擊美圖合作的美鏈BEC,導致市場上頓時出現海量BEC,貨幣價值幾乎歸零。那么,整數溢出漏洞是什么?可以從我們熟悉的登陸密碼說起。程序怎么判斷用戶輸入密碼的正誤呢?后臺的操作是這樣的,先讓用戶輸入密碼,然后再調取真正的密碼,與之對比,如果差異為0,則輸出密碼正確,否則錯誤。這在用戶輸入正確密碼或錯誤密碼時都很好判斷。但是,由于后臺留給密碼的存儲空間是有限的,如果此時用戶輸入的數據超出4個字節,那么將會出現字符溢出。如果程序事先沒有被設置對溢出進行判斷的話,溢出的字符將使系統報錯或關閉。我們再來看此次整數溢出漏洞的缺陷代碼片段:該片段出現在一個叫“multiTransfer”的函數中,函數的作用是讓一個地址可以同時給多個地址轉賬。問題代碼中的totalTokensToTransfer計算出一共要支出的幣的總量,tokens是最終給每個地址轉賬的金額。由于項目方給totalTokensToTransfer變量賦值時未進行溢出判斷,導致當tokens參數非常大時,totalTokensToTransfer變量進行數次計算后溢出為溢出值,系統即認為本次轉賬總金額為溢出后的值,由此便繞過余額檢查的步驟繼續完成交易,但實際上其轉賬金額遠大于錢包所含金額。于是系統憑空轉出巨額代幣,黑客將其在市場上拋售獲利。今年6月份,安比實驗室對以太坊上部署的合約進行的分析檢測,發現共有866個合約存在相同問題。為什么會存在這些漏洞呢?Bcsec安全團隊表示,這類漏洞本質是由于編程人員的疏忽造成的,之所以在以太坊ERC20中較大規模蔓延,是由于很多新上線的合約直接copy自一些合約模板,而未對其進行嚴格的安全評估,因此新項目如要使用應盡量確保其合約的安全性,才可以代表資產進行交易。我是作者黃雪姣,區塊鏈項目報道/交流可加微信hxjiapg,勞請備注職務和事由。

Tether聯合Holepunch和Synonym推出P2P信用系統Pear Credit:10月28日消息,Tether在官網發文稱已聯合Holepunch和Synonym推出點對點(P2P)信用系統Pear Credit,Pear Credit 是一種透明的會計系統,利用點對點技術實現高可擴展性和彈性,非常適合大型企業和單人公司。對于想要發行禮品卡、獎勵積分、穩定幣和任何可以想象的信用形式的公司來說,Pear Credit 將是一個完美的工具。[2022/10/29 11:53:56]

比特幣全網未確認交易數量為3439筆:金色財經消息,數據顯示,目前比特幣全網未確認交易數量為3439筆,全網算力為199.84 EH/s,24小時交易速率為2.85交易/s,目前全網難度為29.15 T,預測下次難度下調3.36%至28.17 T,距離調整還剩4天19小時。[2022/7/17 2:18:14]

美股短線走高 三大指數集體轉漲:金色財經消息,行情顯示,美股短線走高,三大指數集體轉漲。納指漲幅擴大至0.5%,標普500指數現漲0.24%,道指漲0.01%。[2022/7/14 2:11:24]

Tags:TOTTOKTOKENTOKECryptoTaskSOLAPE TokenBIX Tokenimtoken官網

比特幣最新價格
人工智能:用區塊鏈幫實體經濟完成互聯網+戰略,「宏暢」想成為區塊鏈界“埃哲森”_APP

“生態”一詞在生物學上被定義為:“在一定空間范圍內,植物、動物、真菌、微生物群落與其非生命環境,通過能量流動和物質循環而形成的相互作用、相互依存的共同體.

1900/1/1 0:00:00
CAT:泰國近日開放數字資產交易資格證,或成最早明確數字資產落地法令的國家之一_區塊鏈專業就業前景

據曼谷郵報今日消息,泰國財政部自本周二開始發放數字資產交易資格證,正在進行相關業務的公司和有意愿參與該行業的公司均可向泰國證監會提交申請.

1900/1/1 0:00:00
USD:陸奇回歸,表示長期看好區塊鏈_USDC

!webp\"data-img-size-val=\"688,387\"width=\"688\"\u002F\\>從百度離場之后,陸奇的去向引發了多種猜測.

1900/1/1 0:00:00
ELLA:Stellar能超越競爭對手Ripple嗎?_Interstellar AI

加密貨幣引發了全球金融業的顛覆性變革。因為不受特定機構、政府或國家約束,數字資產獲得了世界各地很多人的關注。當基于區塊鏈的支付網絡興起,許多人將其視為非常積極的發展.

1900/1/1 0:00:00
數字貨幣:區塊鏈日報 | 以太坊代幣被曝“假充值”漏洞;印度交易所因禁令影響轉向幣幣交易_加密貨幣

頭條慢霧區發布以太坊代幣“假充值”漏洞攻擊預警慢霧區發布以太坊代幣“假充值”漏洞攻擊預警,稱相關交易所、中心化錢包、代幣合約需要特別警惕,盡快自查以太坊相關代幣的充值是否存在異常.

1900/1/1 0:00:00
NOS:被三分之一世界500強中企運用,區塊鏈實現大規模商用落地還需多久?_MIDAI

近日,美國《財富》雜志發布了新一期的世界500強排行榜。上榜公司中,中國公司達到120家,非常接近美國126家的數量,排名第二.

1900/1/1 0:00:00
ads