即将到来的以太坊网络Constantinople升级为SSTORE操作引入了更便宜的gas成本。作为一种不必要的副作用,当在Solidity智能合约中使用address
functiondeposit(uintid)publicpayable{deposits+=msg
functionupdateSplit(uintid,uintsplit)public{require(split<=100);splits=split;}functionsplitFunds(uintid)public{//Herewouldbe://Signaturesthatbothpartiesagreewiththissplit//Splitaddresspayablea=first;addresspayableb=second;uintdepo=deposits;deposits=0;a
}<新的易受攻击代码的示例>该代码以一种意想不到的方式受到攻击:它模拟一种安全的资金均摊服务。双方可以共同接收资金,决定如何split资金以及接收支付。攻击者可以创建这样一对地址,其中第一个地址是以下列出的攻击者合约,第二个地址是任何攻击者账户。该攻击者将充值一些钱。pragmasolidity^0
functionattack(addressa)external{victim=a;PaymentSharerx=PaymentSharer(a);x
function()payableexternal{addressx=victim;assembly{mstore(0x80,0xc3b18fb600000000000000000000000000000000000000000000000000000000)pop(call(10000,x,0,0x80,0x44,0,0)。functiondrain()external{owner
}<攻击者合约列为第一个地址>该攻击者将调用自己合约的attack函数,以便在一个交易中披露以下的事件:1、攻击者使用updateSplit设置当前split,以确保后续升级是便宜的。这是Constantinople升级的结果。攻击者以这样的方式设置split,即第一个地址(合约地址)接收所有的资金。2、攻击者合约调用splitFunds函数,该函数将执行检查*,并使用transfer将这对地址的全部存款发到合约。3、从回调函数,攻击者再次更新split,这次将所有资金分配到攻击者的第二个账户。4、splitFunds的执行继续,全部存款也转到第二个攻击者账户。简而话之,攻击者只是从PaymentSharer合约中偷走了其他人的以太币,并且可以继续。为什么现在可以攻击?
与以太坊EVM兼容的区块链基础设施Rangers Protocol宣布其主网启动:12月9日消息,Rangers Protocol主网于12月7日正式上线,全面支持NFT和复杂应用部署以及NFT跨链的开发者和用户。作为Rangers Protocol的核心技术,Rangers Engine和Rangers Connector在支持EVM兼容和NFT跨链功能方面已经发挥作用。此外,它还提供关键开发文档,有效简化广大开发者的dapp开发流程。
Rangers Protocol是一个元宇宙区块链基础设施。它是用于复杂开发和数据迁移的高性能引擎。Rangers Protocol完全兼容以太坊,专业支持NFT和复杂应用,集成和扩展跨链、NFT、EVM、分布式网络协议。(The Block)[2021/12/9 13:00:19]
在Constantinople之前,每个storage操作都需要至少5000gas。这远远超过了使用transfer或send来调用合约时发送的2300gas费。在Constantinople之后,正在改变“dirty”存储槽的storage操作仅需要200gas。要使存储槽变的dirty,必须在正在进行的交易期间更改它。如上所示,这通常可以通过攻击者合约调用一些改变所需变量的public函数来实现。然后,通过使易受攻击的合约调用攻击者合约,例如,使用msg.sender.transfer(...),攻击者合约可以使用2300gas费成功操纵漏洞合约的变量。必须满足某些先决条件才能使合同变得易受攻击:1.必须有一个函数A,函数中transfer/send之后,紧跟状态改变操作。这有时可能是不明显的,例如第二次transfer或与另一个智能合约的互动。2.攻击者必须能够访问一个函数B,它可以(a)改变状态,(b)其状态变化与函数A的状态发生冲突。3.函数B需要在少于1600gas时能执行(2300gas费-为CALL提供700gas)。我的合约是否易受攻击?要测试您是否容易受到攻击:检查transfer事件后是否有任何操作。检查这些操作是否改变了存储状态,最常见的是分配一些存储变量。如果你调用另一个合约,例如,token的transfer方法*,检查哪些变量被修改。做一个列表。检查合约中非管理员可以访问的任何其他方法是否使用这些变量中的一个。检查这些方法是否自行改变存储状态。检查是否有低于2300gas的方法,请记住SSTORE操作只有200gas。如果出现这种情况,攻击者很可能会导致您的合约陷入不良状态。总的来说,这是另一个提醒,即为什么Checks-Effects-Interactions模式如此重要。作为节点运营商或矿工,我需要做什么?
分析师:“波卡或成为以太坊杀手”尚有待观察:Delphi Digital分析师Ashwath Balakrishnan表示,如果ETH 2.0发布,开发者将陷入两难境地。他们将不得不选择留在以太坊2.0或迁移到一个全新的协议——波卡(Polkadot)。Balakrishnan称:“DOT的设计很优雅,很好地解决了可扩展性问题。但还有一些问题。首先,链上治理尚未经证实,经验不足。Decred和Tezos推动链上治理有一段时间了,但并没有像支持者想象的那样成功。第二,波卡的应用层是以太坊的再创造。随着以太坊通过L2和ETH 2.0实现了可扩展性改进,是否有真正的催化剂让构建者完全迁移甚至在波卡上创建其协议的镜像实例,这一点仍有待观察。”(CryptoSlate)[2020/11/10 12:14:03]
下载最新版本的以太坊客户端:最新的geth客户最新的Parity客户端最新Harmony客户端最新的万神殿客户端最新的Trinity客户端以太坊钱包/迷雾的最新版本|作者:ChainSecurity|翻译:猎豹区块链安全团队
以太坊核心开发者:必须把以太坊哈希改为“安全哈希” 与比特币哈希做区分:以太坊核心开发者Péter Szilágyi发推称,刚刚意识到比特币使用SHA2算法,和以太坊使用SHA3算法,而我们把他们都称为“哈希”,这是故意混淆且是不负责任的。我们必须把以太坊的哈希重命名为“安全哈希”,因为比特币的哈希更弱,而我们不应该对此不诚实。[2020/8/19]
分析 | 以太坊对比特币汇率持续回升?30天ROI表现有一定改观:据 TokenGazer 数据分析显示,截止至 9?月 9 日 11 时,以太坊价格为$178.92,总市值为$19,264.84M,主流交易所交易量约为$131.19M,增量明显;以太坊对比特币汇率持续上升,目前仍年内低点附近波动;基本面方面,以太坊链上交易量有一定下滑,活跃地址数、算力保持稳定,链上DApp交易量有一定增长;以太坊 30 天开发者指数约为 2.24;以太坊与 BTC 180 天关联度有轻微下滑,目前约为0.789;以太坊 30 天 ROI 有一定反弹;ERC20 代币总市值约为以太坊总市值的 69.28%,有一定下滑。[2019/9/9]
动态 | 以太坊生态dxDao即将上线,去中心化自治组织或将再次兴起:据RatingToken舆情监测显示,以太坊生态项目dxDao将于后天(2019年5月29日)发布。dxDao是由DAOstack发起的去中心化自治实验,在The Dao基础上做了大量改良,将会适用于更多样的场景。RatingToken分析师认为,前者The DAO以失败告终,但“无领导的区块链自治组织”概念早已深入人心,随着Dapp和DeFi的发展,“去中心化自治组织”将会在未来拥有更丰富的应用场景。[2019/5/27]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。