7月8日下午,降维安全实验室监控到,以太坊智能合约AMR存在高危风险交易。团队对代码进行分析,发现其中存在的整数溢出漏洞已被人恶意利用,导致AMR大量增发。今年4月份,攻击者也曾利用该漏洞攻击美图合作的美链BEC,导致市场上顿时出现海量BEC,货币价值几乎归零。那么,整数溢出漏洞是什么?可以从我们熟悉的登陆密码说起。程序怎么判断用户输入密码的正误呢?后台的操作是这样的,先让用户输入密码,然后再调取真正的密码,与之对比,如果差异为0,则输出密码正确,否则错误。这在用户输入正确密码或错误密码时都很好判断。但是,由于后台留给密码的存储空间是有限的,如果此时用户输入的数据超出4个字节,那么将会出现字符溢出。如果程序事先没有被设置对溢出进行判断的话,溢出的字符将使系统报错或关闭。我们再来看此次整数溢出漏洞的缺陷代码片段:该片段出现在一个叫“multiTransfer”的函数中,函数的作用是让一个地址可以同时给多个地址转账。问题代码中的totalTokensToTransfer计算出一共要支出的币的总量,tokens是最终给每个地址转账的金额。由于项目方给totalTokensToTransfer变量赋值时未进行溢出判断,导致当tokens参数非常大时,totalTokensToTransfer变量进行数次计算后溢出为溢出值,系统即认为本次转账总金额为溢出后的值,由此便绕过余额检查的步骤继续完成交易,但实际上其转账金额远大于钱包所含金额。于是系统凭空转出巨额代币,黑客将其在市场上抛售获利。今年6月份,安比实验室对以太坊上部署的合约进行的分析检测,发现共有866个合约存在相同问题。为什么会存在这些漏洞呢?Bcsec安全团队表示,这类漏洞本质是由于编程人员的疏忽造成的,之所以在以太坊ERC20中较大规模蔓延,是由于很多新上线的合约直接copy自一些合约模板,而未对其进行严格的安全评估,因此新项目如要使用应尽量确保其合约的安全性,才可以代表资产进行交易。我是作者黄雪姣,区块链项目报道/交流可加微信hxjiapg,劳请备注职务和事由。
DeFiLlama:如果CRV跌至0.36美元或以下,Curve创始人在Aave的贷款将被清算:金色财经报道,根据DeFiLlama 的数据,如果CRV价格跌至0.36美元或更低,Curve Finance创始人 Micheal Egorov在Aave上的贷款将被清算。
金色财经曾报道,8月1日,Egorov向 Justin Sun、Machi Big Brother 和 DWF Labs 等众多DeFi投资者出售了 3925 万枚 CRV稳定币,总价值为1580万美元。买家以每个代币0.40美元的价格购买了CRV,比当时的市场价格低25%。[2023/8/2 16:12:55]
肯尼亚央行:CBDC的吸引力正在减弱,将继续监测其发展:金色财经报道,肯尼亚中央银行周五的一份声明表示,该国支付系统中的“痛点”可以通过围绕现有生态系统构建的创新来解决,而中央银行数字货币(CBDC)“可能不是一个引人注目的优先事项”。中央银行表示,它收到了 100 多条关于 2 月份开始的磋商的评论,受访者来自九个国家,包括商业银行和机构的代表,受访者强调了 CBDC 的好处,例如提高效率,以及包括高实施成本和金融排斥在内的风险。但该银行认为,发行 CBDC 的国家面临“部署阻碍”的问题,而且最近加密市场的不稳定加剧了人们的担忧。CBDC 的吸引力正在减弱,该银行将继续监测 CBDC 的发展,为未来的评估提供信息。[2023/6/3 11:55:32]
Web3创作者社区应用PoP Planet完成400万美元天使轮融资:5月26日消息,Web3创作者社区应用PoPP宣布完成400万美元天使轮融资,Foresight Ventures领投,数家其它机构和个人参投。本轮融资完成后,PoPP估值达到4000万美元。此轮资金将支持PoPP上线后继续投入产品研发迭代及创作者激励,近期产品即将上线AppStore开启公测。PoPP将作为集成式的创作者社区工具,以及一站式的内容沉淀应用,用Web3和AI技术承载社区。(Coinspeaker)[2023/5/26 10:41:01]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。