以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

EOS:細節!EOS抵押漏洞分析

Author:

Time:1900/1/1 0:00:00

編者按:本文來自數字彗星科技,星球日報經授權發布。針對前段時間EOS漏洞問題,本文將進行整體細節的回顧,希望大家提起安全意識,但也不要過度恐慌,正確看待安全問題。一、事件概述6月22日凌晨,EOS官方社區發布消息稱:發現EOS漏洞,用戶抵押投票的代幣在漏洞修復之前都無法贖回。隨后我們根據相關消息對該漏洞進行驗證確認該漏洞確實存在,且在漏洞修復前,通過精心構造的攻擊使得特定用戶資產進行無限期抵押,無法贖回。我們知道EOS采用DPoS共識機制,該機制通過社區投票選舉21個超級節點來維護EOS網絡,為EOS網絡提供算力、帶寬以及存儲支持。用戶投票不需消耗EOS,但EOS會被鎖定。用戶可以隨時申請贖回抵押的EOS,申請贖回后72小時后到賬,同時,投票將被扣減。此次漏洞事件發生在EOS贖回過程中,如果其他用戶抵押EOS給贖回用戶,系統首先將贖回用戶贖回過程中的EOS進行再次抵押。我們已經知道申請贖回的EOS需要72小時才能到賬,如前所訴,通過精心構造的攻擊理論上使得指定用戶資產進行無限期抵押,對用戶造成嚴重危害。二、漏洞攻擊流程1.假設被攻擊用戶擁有0.0005個正在贖回途中EOS。

國會議員:數字美元聽證會“令人鼓舞”,但細節仍需討論:在6月11日國會金融科技工作組的聽證會上,每個人似乎都同意可以通過數字美元來改善金融普惠,而關于數字美元的具體細節可能引起了更大的爭議。國會議員Warren Davidson是工作組的成員,也是知名加密倡導者,他對聽證會的總體基調感到滿意:“就人們在這個問題上的立場而言,這并不是真正的黨派之爭。會議沒有因為它對美元構成威脅而直接拒絕,因為它就是美元,這無疑是令人鼓舞的。”在早些時候的談話中,金融服務委員會的民主黨成員特別關注加密技術對美國主權的威脅。Davidson提到全體委員會主席Maxine Waters起草了一項關于昨天談話核心內容的法案。

Davidson尤其擔心,當談到“數字美元”時,每個人都在談論的內容并沒有包括現有美元的一些關鍵優勢,包括隱私和自主性:“這是現金的優勢,你必須具備這一特點,即你沒有真正過濾交易。”因此,Davidson認為,就數字美元的含義達成共識需要更多的時間。(Cointelegraph)[2020/6/13]

2.此時攻擊者向贖回用戶抵押0.0001個EOS。

動態 | 比特大陸IPO細節曝光:去年凈利超11億美元 上市后預期估值300億美元以上:據全天候科技報道,從知情人處獲悉,比特幣礦機制造商比特大陸計劃于8月30日向香港聯交所提交初次上市申請表,并于2018年底完成上市。比特大陸規模5-10億美元的Pre-IPO輪融資將于近日交割。投資人名單中,騰訊、EDBI、阿布扎比投資局和加拿大養老基金等在冊,投后估值約為150億美元,亦有機構販賣至180億美元。上市后,比特大陸預期估值為300億美元以上,或將達到350億美元。據全天候科技獲悉的財報數據顯示,比特大陸2017年營業收入約25億美元,凈利潤超過11億美元。2016 年、2017 年,比特大陸凈利潤分別為0.97 億和11.8 億美元。[2018/7/25]

3.交易生效后,我們看到攻擊者的余額沒有發生變化,而贖回用戶正在贖回途中的0.0001個EOS被迫再次進行抵押。

聲音 | 長江商學院教授:區塊鏈沒有殺手級應用原因在于匿名機制和技術細節:在7月19日舉辦的2018全球媒體峰會上,長江商學院金融學教授、金融MBA學術主任、美國財務學會會員曹輝寧發表題為《區塊鏈向何處去》的演講,談到區塊鏈沒有殺手級應用的原因,一是匿名機制使政府對區塊鏈技術有一定限制,另外技術細節方面有問題,信任機制產生大量能耗。

此外他還表示,區塊鏈有兩個優勢,第一是分布式記賬技術讓陌生人之間產生信任,第二是通證經濟,無通證區塊鏈是死水一灘。[2018/7/19]

三、漏洞原理解析攻擊流程圖中的攻擊命令如下:cleos--wallet-urlhttp://localhost:6666--urlhttp://mainnet.genereos.io:80systemdelegatebw(attacker)(victim)"0.0001EOS""0.0000EOS"--transfer由于攻擊者在調用命令時加入了--transfer參數,在調用到抵押函數delegatebw時會調用changbw函數,此時transfer為true

當transfer變量為true時,from地址變成被攻擊對象的地址,

接下來被攻擊對象的數據被修改,EOS再次抵押,

四、漏洞緩解方案綜合以上分析,本文建議修改部分業務邏輯緩解和修復該抵押漏洞。1.transfer參數不管是否為true,都應該直接在抵押發起方余額中扣除;2.梳理相關業務邏輯,審查是否存在類似漏洞。五、漏洞分析總結通過以上分析,通過精心構造的攻擊使得特定用戶資產進行無限期抵押,無法贖回。利用緩解方案的措施修補代碼能夠有效緩解和修復該漏洞。

Tags:EOS區塊鏈TRAFEREOST價格區塊鏈證據保全怎么操作視頻ContracoinKols Offering Token

POL幣最新價格
CRYP:鯨準研究院丨區塊鏈+云計算行業分析報告

區塊鏈+云計算是利用區塊鏈實現分布式云計算的技術手段。本文分析了云計算行業的痛點、區塊鏈技術和云計算的結合性、DCC的代表項目并且對主要的應用解決方案進行了對比,闡述了DCC模式主要存在的障礙,

1900/1/1 0:00:00
區塊鏈:HTC計劃年底推出加密手機,羅永浩“扔掉”的手機,區塊鏈能把它撿回來嗎?

據coindesk消息,5月15日,臺灣電子制造商HTC公布了Exodus智能手機的研發計劃。HTCVive虛擬現實產品線創立者及創世紀項目的領導者PhilChen表示,公司計劃今年年底前推出這.

1900/1/1 0:00:00
比特幣:泡沫還是新興貨幣?美聯儲認為比特幣距離“魔鬼”僅一步之遙

本文來自:巴比特,星球日報經授權轉發。郁金香泡沫指的是荷蘭的黃金時代的一段時期,當時有一種最新引進的郁金香品種變得十分流行,因此郁金香的期貨價格達到了非常高的水平,直到1637年2月,郁金香價格.

1900/1/1 0:00:00
區塊鏈:網絡監控節點覆蓋度不足,「Path」想用基于區塊鏈的激勵解決這個問題

假如你運營一個網站或者APP,服務器設在洛杉磯,用戶來自全球,你要同時全球各地的網絡節點是否能通暢順利地連接訪問網站和APP.

1900/1/1 0:00:00
區塊鏈:波士頓大學報告:ICO投資者人均回報率達82%,持幣僅16天

!webp\"data-img-size-val=\"756,504\"width=\"756\"\u002F\\> 近日,波士頓大學 卡羅爾管理學院 發布一份研究 報告.

1900/1/1 0:00:00
比特幣:區塊鏈+藝術:安迪沃霍爾作品將走進“全球首個加密藝術拍賣會”

14張小電椅據cointelegraph報道,區塊鏈平臺Maecenas今日宣布,將于6月20日,在英國美術館DadianiSyndicate舉辦全球首個加密貨幣藝術品拍賣會.

1900/1/1 0:00:00
ads