基于以太坊的新期权交易协议刚刚上线,但是其代码已经遇到了重大问题。
就在4月23日Hegic推出智能合约的数小时后,其代码中的一个漏洞导致该平台的智能合约锁定了价值2.8万美元的用户资金。这些资金大部分都是稳定币DAI,其余的是ETH。
孙宇晨:波场TRON主网启动5年来成就斐然,肩负全新使命再出发:据官方消息,6月25日,波场TRON创始人、火必Huobi全球顾问委员会成员孙宇晨发布推文庆祝波场TRON 5周年独立日,孙宇晨表示,作为波场TRON的创始人,在这个特殊的日子里,他由衷感谢大家的一路相伴和支持。“让我们一同共创未来,我们的故事才刚刚开始。”孙宇晨说。
孙宇晨在推文附带的庆祝视频中表示,“过去5年,我们一直致力于推动互联网去中心化。如今我们又有了建设元宇宙金融自由港的全新使命。在此过程中,我们不断加快国际化与合规化的脚步,积极推动生态繁荣发展,布局行业各类赛道,并在教育、环保、人工智能等领域长期落实工作。我们构建了一套成熟的由公链、交易所和稳定币组成的基础设施,充分服务于社区每一个用户。我们可以自豪的说,我们一直热爱并忠于这份事业。”
此外,孙宇晨直言,用户的信任是波场TRON最核心的竞争力。他希望在未来携手全球80亿人,共同实现金融自由。[2023/6/25 21:59:16]
Hegic团队承诺用他们自己的资金补偿所有受影响的用户,而被锁定的资金将永远放在智能合约中。
Injective今日将进行主网升级,以优化可扩展性和出块时间等:6月1日消息,Cosmos生态智能合约平台Injective关于Avalon主网升级提案已获社区投票通过,最终支持率达99.8%。此次升级将带来L1可扩展性优化、“次秒级”(sub-second)出块时间、PoS委托改造。
在此次升级过程中,Injective Chain将从v1.10升级到v1.11。预计主网将于北京时间6月1日22:00左右停止v1.10版本的injectived应用程序二进制文件,并启动v1.11版本的injectived应用程序二进制文件。[2023/6/1 11:52:37]
但是让社区不满的是,团队最初说这个漏洞只是打错了字。社区和审查其代码的独立团队都表示,该漏洞是由一个本可以轻松避免的bug造成的。
AUC公链推进主网cornerstone1.0触网启动阶段:据官方消息称AUC公链的封闭测试结束,暂定于11月10日主网上线,现针对网体的安全检查和代码审计,已进入UORA的Austin insurance(奥斯丁保险账户)AUCTXP协议,启动智能合约地址锁定资产入网压舱,主网1.0触网启动,舱池置于离网冻结状态,以上工作完成后,将具备主网全面上线的条件。cornerstone地址公示:0xA1e2Ef0DeB6b31CB9C32f903Da16a26c332983b4。[2020/11/2 11:25:11]
快评:EOS主网事故警示EOS网络稳定性亟待加强:北京时间6月16日17:56 EOS主网暂停出块,北京时间22:48可逆区块已备份至正常状态,历经不到五小时。据悉,本次事故是因为今早交易延迟引起了系统Bug。EOS Asia方面表示:“UTC时间13:02(北京时间21:02)我们确定了本次事件的根本原因,并正在修复程序。完成修复后,将发布完整的声明。EOS区块链已经升级至1.0.5版本,区块链上的数据不会丢失。本次事件的根本原因在于要如何处理交易延迟问题”。据悉,超级节点们将会同步到区块高度为1027926时共同恢复出块。
最新消息是,BM已经发布了请求合并(Pull Request: https://github.com/EOSIO/eos/pull/4158),已被所有超级节点同步,EOS区块链网络已升级至1.0.5版本。
受出块暂停事故影响,EOS价格小幅跳水。EOS暂停出块意味所有交易都不能进行,如果后续基于EOS网络创建了更多的DAPP,那么更多的应用或都将在此期间受限。综合来看,投资者担心主要来自几个方面:BM项目组对测试和软件稳定性的基本认识是什么?对此类事件的发生有无预估和预案?超级节点作为一种类中心化的方案,是否更容易被攻击?对于这类攻击事件,项目组与节点之间的合作沟通机制是否完备?需要额外提及的是,此前引起轰动的 “史诗级”漏洞与本次暂停出块并非同一诱因,金色财经呼吁项目组和超级节点通力合作,共同完善治理。截至发文,EOS跌幅2.08%,现报67.14。[2018/6/17]
审查Hegic代码的软件审计公司TrailofBits说,该交易所无视相关漏洞和缺陷的警告;相反,Hegic单纯地给这些问题贴上了“创可贴”,并迅速推出了自己不成熟的代码。
TrailofBits首席执行官DanGuido说:
“这显然是一个错误,如果他们做过单元测试,这个错误就很容易被发现。”
Hegic在官方回应中称:
“我们曾说这是打字错误,但不是一个bug或安全问题,为此向每个Hegic用户道歉。”
在一条更早的推文中,Hegic解释了这个问题,称代码中的一个“打字错误”导致交易者无法从到期的期权合约中收回资金。
在期权交易中,交易者购买一种合约,这种合约赋予他们在到期日以特定价格买卖某种资产的选择权;Hegic的“打字错误”让用户无法获取这些合约到期后锁定的资金。
但是审查Hegic代码的安全审计公司TrailofBits称它是一个bug,而不是Hegic最初声称的打字错误。TrailofBits的首席执行官声称,Hegic在提交一份安全评估报告时,并没有如实反映该交易所的安全性。
之后,Guido在推特上说,Hegic忽略了许多TrailofBits的建议,对产品的上线太草率了。他表示,他的公司在4月初审查Hegic代码时,发现了“10个重要漏洞”。
TrailofBits建议Hegic推迟主网上线。但是Guido说,该公司拒绝了,并且“简单修补了我们发现的一些bug,没有做进一步的修改,将我们3天的代码审查错误地描述为‘审计’,然后立即着手上线。”
Guido说,这给了用户一个错误的印象,即Hegic是安全的,尽管该项目没有公开文档,也没有已发布的或可验证的软件测试。
Guido说恶意或信息闭塞的团队对安全审计的错误陈述对整个以太坊和DeFi领域都是有害的。
以太坊以前也有过这样的问题。正如区块链平台MyCrypto在推特上指出的那样,2017年Parity钱包漏洞——ParityDAO中价值2.8亿美元的钱包库被一名匿名开发者删除——表面上也是一场意外。但这个漏洞仍然被利用了,不管是不是偶然,Parity以一次有争议的硬分叉来解决这件事,它将以太坊分裂成两条链来恢复丢失的币。
这次可能不会有分叉,但是情况还是一样——不管你多少次试图称它为一个拼写错误。
近段时间,因Uniswap和Dforce的先后被攻击再次引发了对DeFi安全问题的讨论。作为一种全新的事物,DeFi仍需经历大量的考验。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。