区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > 波场 > 正文

FER:细节!EOS抵押漏洞分析_Kols Offering Token

作者:

时间:

编者按:本文来自数字彗星科技,星球日报经授权发布。针对前段时间EOS漏洞问题,本文将进行整体细节的回顾,希望大家提起安全意识,但也不要过度恐慌,正确看待安全问题。一、事件概述6月22日凌晨,EOS官方社区发布消息称:发现EOS漏洞,用户抵押投票的代币在漏洞修复之前都无法赎回。随后我们根据相关消息对该漏洞进行验证确认该漏洞确实存在,且在漏洞修复前,通过精心构造的攻击使得特定用户资产进行无限期抵押,无法赎回。我们知道EOS采用DPoS共识机制,该机制通过社区投票选举21个超级节点来维护EOS网络,为EOS网络提供算力、带宽以及存储支持。用户投票不需消耗EOS,但EOS会被锁定。用户可以随时申请赎回抵押的EOS,申请赎回后72小时后到账,同时,投票将被扣减。此次漏洞事件发生在EOS赎回过程中,如果其他用户抵押EOS给赎回用户,系统首先将赎回用户赎回过程中的EOS进行再次抵押。我们已经知道申请赎回的EOS需要72小时才能到账,如前所诉,通过精心构造的攻击理论上使得指定用户资产进行无限期抵押,对用户造成严重危害。二、漏洞攻击流程1.假设被攻击用户拥有0.0005个正在赎回途中EOS。

Bancor将于11月29日披露V3版具体细节:11月10日消息,去中心化交易协议Bancor宣布将于11月29日公布Bancor V3版本的全部细节,并将发布V3版第一阶段。[2021/11/10 6:43:45]

2.此时攻击者向赎回用户抵押0.0001个EOS。

3.交易生效后,我们看到攻击者的余额没有发生变化,而赎回用户正在赎回途中的0.0001个EOS被迫再次进行抵押。

声音 | 慢雾创始人:因相关细节被“不负责任”地公布,门罗币紧急发布修复版本:区块链安全公司慢雾创始人余弦在微博称,由于Ledger硬件钱包门罗币的一起“丢币”事故,Ledger警告称不要和门罗币客户端v0.14一起使用Monero Ledger HW应用程序(或Ledger Nano S),可能会引起“丢币”事故,门罗币官方转发了这条消息。而这之前门罗币官方紧急发布了最新的修复版本v0.14.0.1,解决了在Coinbase 交易中RingCT输出的错误处理问题,正是这个导致了“丢币”事故。之所以是紧急修复是因为漏洞相关细节已经被“不负责任”地公布了。余弦表示,有相关猜测称,这是一个匿名货币小币种嘲讽地披露了门罗币“假充值”漏洞细节,解释说是因为门罗币对漏洞研究者一直很傲慢。这导致门罗币提前发布了补丁。接入门罗币的相关交易所和钱包尽快修复了漏洞。[2019/3/7]

三、漏洞原理解析攻击流程图中的攻击命令如下:cleos--wallet-urlhttp://localhost:6666--urlhttp://mainnet.genereos.io:80systemdelegatebw(attacker)(victim)"0.0001EOS""0.0000EOS"--transfer由于攻击者在调用命令时加入了--transfer参数,在调用到抵押函数delegatebw时会调用changbw函数,此时transfer为true

动态 | PoS发明者Sunny King提出的SPoS共识机制技术细节正式公布:Sunny King提出的全新共识机制SPoS的技术细节于近日被VEE硅谷团队正式公布。不同于DPoS和Casper,SPoS从数学角度重构底层,采用固定块间隔设计,可保证高TPS的同时保证出块稳定性。此外,SPoS引入的冷铸币及平均算法MAB避免了币权中心化,可让节点铸币权的竞争更公平。据悉,完整版SPoS共识机制技术黄皮书将于近日面向全球发布。Sunny King是PoS的发明者、质数币(Primecoin)和点点币(Peeroin)创始人。[2018/9/12]

当transfer变量为true时,from地址变成被攻击对象的地址,

接下来被攻击对象的数据被修改,EOS再次抵押,

四、漏洞缓解方案综合以上分析,本文建议修改部分业务逻辑缓解和修复该抵押漏洞。1.transfer参数不管是否为true,都应该直接在抵押发起方余额中扣除;2.梳理相关业务逻辑,审查是否存在类似漏洞。五、漏洞分析总结通过以上分析,通过精心构造的攻击使得特定用户资产进行无限期抵押,无法赎回。利用缓解方案的措施修补代码能够有效缓解和修复该漏洞。

标签:EOSFERANSTRAeosdac币怎么没了Kols Offering TokenTITANS币Global Digital Trade Warrant

波场热门资讯
热度链:星球专访 | 区块链游戏的未来玩法是头号玩家,底层设施又是怎样?_区块链游戏币有哪些

游戏被认为是区块链最佳的落地场景之一,入局该领域的公司越来越多。金山云就是其中之一。金山游戏云区块链负责人朱江多次在公开场合表示对区块链游戏的重视.

区块链:迅雷正式加入超级账本联盟,加码区块链实体场景落地_CEO

7月2日,迅雷官微宣布,其正式加入Linux基金会的“超级账本”项目,成为该组织国际区块链联盟的最新成员.

COI:《财富》区块链行业精英榜单出炉:国内仅一人上榜_kucoinpro跟库币是一回事吗

本文来自区块律动BlockBeats,译者0x17,Odaily星球日报经授权转载。本周,《财富》杂志发布了40位40岁以下区块链精英榜单,我们熟悉的美国第一大交易所Coinbase的创始人、以.

TRA:10万美金能砸出跌停?黑暗幽灵掀起交易所战争_Data Transaction Token

本文来自:链研所,作者:胡边,星球日报经授权转发。最近币安与FCoin吵起来了,其原因是近日来FT价格出现瀑布式暴跌,FCoin怀疑狙击FT的黑暗幽灵量化交易团队隶属于币安,而币安联合创始人何一.

加密货币:火币或成首个推出印度数字货币P2P交易的国际交易所_BABYUSDT

据bitcoin报道,火币近日在电子邮件中向印度用户宣布,将在印度提供点对点交易服务。通知声明,他们将有权提供比特币、以太坊和USDT的零佣金交易。用户将能够使用印度卢比买卖这些加密货币.

DAI:百度区块链应用「度宇宙」上线新功能,用户参与PK答题可挣“元素”_NST

Odaily星球日报了解到,百度区块链产品度宇宙上线新玩法功能,该功能的玩法与微信小程序头脑王者游戏相似,用户通过押注元素进行一对一答题比赛,胜出则获得相应元素奖励.