買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > ICP > Info

ANS:細節!EOS抵押漏洞分析_Ultraman Tiga

Author:

Time:1900/1/1 0:00:00

編者按:本文來自數字彗星科技,星球日報經授權發布。針對前段時間EOS漏洞問題,本文將進行整體細節的回顧,希望大家提起安全意識,但也不要過度恐慌,正確看待安全問題。一、事件概述6月22日凌晨,EOS官方社區發布消息稱:發現EOS漏洞,用戶抵押投票的代幣在漏洞修復之前都無法贖回。隨后我們根據相關消息對該漏洞進行驗證確認該漏洞確實存在,且在漏洞修復前,通過精心構造的攻擊使得特定用戶資產進行無限期抵押,無法贖回。我們知道EOS采用DPoS共識機制,該機制通過社區投票選舉21個超級節點來維護EOS網絡,為EOS網絡提供算力、帶寬以及存儲支持。用戶投票不需消耗EOS,但EOS會被鎖定。用戶可以隨時申請贖回抵押的EOS,申請贖回后72小時后到賬,同時,投票將被扣減。此次漏洞事件發生在EOS贖回過程中,如果其他用戶抵押EOS給贖回用戶,系統首先將贖回用戶贖回過程中的EOS進行再次抵押。我們已經知道申請贖回的EOS需要72小時才能到賬,如前所訴,通過精心構造的攻擊理論上使得指定用戶資產進行無限期抵押,對用戶造成嚴重危害。二、漏洞攻擊流程1.假設被攻擊用戶擁有0.0005個正在贖回途中EOS。

Velodrome公布代幣初始釋放及空投細節,將向跨鏈DeFi用戶及OP持有者空投:5月23日消息,由Solidly生態項目veDAO在Optimism上推出的以Solidly為模板的DEX Velodrome公布了代幣初始釋放及空投細節。代幣VELO初始釋放量為4億枚,其中60%將進行空投;24%將以veVELO的形式分配給協議及DAO;10%將分配給團隊;5%將以veVELO的形式分配給Optimism團隊,剩余1%將作為初始流動性。用于空投的60%(2.4億枚VELO)中,45%將分配給WeVE持有者;25%將分配給跨鏈DeFi用戶(包括Curve、Convex、Platypus Finance、Treasure DAO、Redacted Cartel用戶);30%將分配給OP持有者。[2022/5/23 3:36:33]

2.此時攻擊者向贖回用戶抵押0.0001個EOS。

動態 | OKEx官方回應上線USDT交割合約:即將上線USDT保證金合約模擬盤,但具體上線時間及細節暫未確定:金色財經報道,今日據外媒報道,OKEx將于11月6日正式推出USDT期貨交易,提供杠桿率高達100倍的線性期貨合約。該合約將每日結算,并提供由BTC、EOS、ETH、LTC、BCH、XRP等支持的交易對。就此事金色財經采訪OKEx相關人員,OKE官方確認OKEx即將上線USDT保證金合約模擬盤,但具體上線時間及細節暫未確定,請以官方公告為準。[2019/10/29]

3.交易生效后,我們看到攻擊者的余額沒有發生變化,而贖回用戶正在贖回途中的0.0001個EOS被迫再次進行抵押。

美國國會有關加密貨幣聽證會細節披露:據最新公布的信息顯示,Coinbase首席法務風險官、喬治城大學法律教授、幣種中心研究主任等人將出席美國國會定于下周三舉行的關于加密貨幣的聽證會。此次聽證會將會對加密貨幣市場進行概述,審查加密貨幣對于商業和投資者的經濟效率和資本形成潛力,并審查遵守適用法律的情況,以便投資者獲得聯邦證券法提供的全面保護。此外,聽證會將考慮監管機構目前的監管方法。[2018/3/10]

三、漏洞原理解析攻擊流程圖中的攻擊命令如下:cleos--wallet-urlhttp://localhost:6666--urlhttp://mainnet.genereos.io:80systemdelegatebw(attacker)(victim)"0.0001EOS""0.0000EOS"--transfer由于攻擊者在調用命令時加入了--transfer參數,在調用到抵押函數delegatebw時會調用changbw函數,此時transfer為true

當transfer變量為true時,from地址變成被攻擊對象的地址,

接下來被攻擊對象的數據被修改,EOS再次抵押,

四、漏洞緩解方案綜合以上分析,本文建議修改部分業務邏輯緩解和修復該抵押漏洞。1.transfer參數不管是否為true,都應該直接在抵押發起方余額中扣除;2.梳理相關業務邏輯,審查是否存在類似漏洞。五、漏洞分析總結通過以上分析,通過精心構造的攻擊使得特定用戶資產進行無限期抵押,無法贖回。利用緩解方案的措施修補代碼能夠有效緩解和修復該漏洞。

Tags:EOSVELOTRAANSeosdac幣怎么沒了velo幣是不是跑路了Ultraman TigaDOGEFANS

ICP
加密貨幣:炒幣炒得停不下來?英國一戒賭中心對“炒幣上癮”給出治療方案_加密貨幣怎么賺錢的

據Bitcoin報道,英國的克雷格城堡醫院戒賭中心,正在治療對加密貨幣上癮的人。該醫院采取的治療方案,借鑒了治療賭博成癮方案中的一些方法.

1900/1/1 0:00:00
AXO:紐約區塊鏈創企Paxos完成6500萬美元B輪融資,今年或發布倫敦黃金市場結算平臺_區塊鏈的未來發展前景數字化研究

總部位于紐約的區塊鏈初創公司Paxos宣布完成了一筆6500萬美元的B輪融資,領投方為此前曾投資過該公司的LibertyCityVentures、RREVentures和JayJordan.

1900/1/1 0:00:00
加密貨幣:市場操縱屢禁不止?因為28%比特幣總量仍在1600個匿名“鯨魚”手上_CHA

“鯨魚”仍然游走于比特幣市場,試圖吞噬一條條小魚和蝦米。根據BitInfoCharts的電子錢包數據顯示,1600個比特幣錢包持有的比特幣數量占到了比特幣總量的28%.

1900/1/1 0:00:00
區塊鏈:小協議的48小時:少年王登科的奇幻漂流_ORK

編者按:本文來自橙皮書,星球日報經授權轉載。在寫下小協議的第一行代碼時,我壓根不會想到,這個如此簡單的小程序,會一個跟頭跳到風口浪尖上,有如此跌宕起伏的48小時.

1900/1/1 0:00:00
BTC:今日B3礦工比特大陸現場維權,從60天回本到680天,他們經歷了什么?_BTC幣

編者按:本文來自區塊律動BlockBeats,作者:0x2,星球日報經授權發布。商家告訴你買了我們的產品,60天就可以回本,接下來賺的都是利潤,你心動嗎?你心動了,也就被騙了.

1900/1/1 0:00:00
ORD:上線3日用戶破10萬,內容公鏈「Ulord」想做利益分配更合理的數字資源分發平臺_TER

隨著移動互聯網的發展,數字文化內容生態規模愈加龐大,廣告收入膨脹,內容平臺已經高度中心化,而數字文化產業鏈條的利益分配失衡現狀也越來越明顯,版權確認及保護問題也遲遲沒有找到合適的解決方案.

1900/1/1 0:00:00
ads