昨日,EDU智能合约出现重大漏洞,任意账户中的EDUToken可被转走,这些漏洞造成了来自项目方地址中的30亿万枚EDUToken被偷走,并被陆续转手在火币上进行抛售,引发市场进一步恐慌,价格持续走低。
随后,黑客通过抛售比特币和期货做空交易的方式,吸金离场。据区块律动消息,比特币价格在23点30分开始暴跌,从7880跌到7400美元,2小时内跌幅达到6%。
根据漫雾区的分析,此次原因是在EDU智能合约中存在一个transferFrom函数,该函数缺少Safemath验证,可以让攻击者从任何一个EDU余额不为0的账号内向另外一个账号转出EDUToken,也可以理解为可以从智能合约里偷币。
今年以来,多个基于ERC20的智能合约被曝存在安全漏洞,除了已经造成巨大影响的BEC、SMT、BAI等,仍有多个存在安全隐患的智能合约代币依然在交易。巴比特此前也做过特别报道,详情请戳BEC、SMT现重大漏洞,这8个智能合约也可能凉凉
以太坊市值排名超越家得宝和美国银行升至全球资产第22位:AssetDash数据显示,以太坊市值排名升至全球资产第22位,目前约为3513.68亿美元,已超越美国第二大零售商家得宝和美国银行。[2021/5/3 21:19:19]
虽然事后交易所立刻暂停交易和提币,项目方立马升级智能合约,造成的损失和市场恐慌等一系列反应却不可追回,在程序员小哥背锅的同时,我们也可以思考频出的漏洞是否有其深层次的原因?以太坊智能合约是否本身就存在着风险?重要的token资产是否适合建立在ERC20体系基础之上?
目前基于以太坊的Token合约风险主要有两种:
一是自己写的智能合约出现漏洞,被人攻击。以太坊作为一个记录DAPP执行结果的区块链,对于基于合约层的智能合约,需要依赖开发者自己来保障其安全逻辑,一旦合约编写者一时粗心,便可能造成一失足成千古恨的后果。例如18年4月22日BeautyChain出现重大安全漏洞,价值几乎归零,BEC凭空蒸发了10亿美元,事后证明是程序员忘记做溢出检查。
以太坊链上锚定BTC的代币在两周内减少了1.2亿美元:Decrypt今日刊文称,数据显示,在过去的12天里,以太坊上锚定BTC的代币数量已经从11月20日的153591枚下降到现在的147350枚,减少了6421枚,约合1.2亿美元。从6月到10月,以太坊上锚定BTC的代币数量从接近零飙升至20亿美元,但该数据从上个月开始开始下降。文章分析称,导致该数量下降的原因是:1.在等待价格上涨期间投资了DeFi智能合约的比特币长持者可能已经变现;2.DeFi流动性挖矿激励措施减少导致DeFi协议的交易活动减少,交易者对WBTC等代币化资产的需求减少。[2020/12/3 22:56:34]
二是合约调用的底层合约出问题,间接产生风险。合约层是一台封装了可以执行图灵完备脚本语言的虚拟机,可以通过编写脚本语言作为智能合约部署到以太坊区块链中。去年,一个叫做“devops199”的开发者触发了以太坊Parity钱包漏洞,漏洞出在钱包调用的一个library上。因为以太坊的合约调用是把地址当指针使用,每次执行用户编写的智能合约都要调用library。“devops199”把底层库函数破坏的同时相当于把所有合约的指针都破坏了,从而使得所有钱包里的资金被永久冻结。
Bitfinex首席技术官:Bitfinex始终选择部署自己的以太坊节点:8月11日,针对网友提问交易所如何运行以太坊节点,Bitfinex首席技术官Paolo Ardoino发推回应称,如果第三方不诚实,则使用第三方节点管理存取款,可能导致该服务提供商的API响应中发生交易或余额注入。因此Bitfinex始终选择部署自己的节点。[2020/8/11]
微博研发副总经理TimYang曾表示,“为什么以太坊比较容易出安全问题?以太坊只是一个记录DAPP执行结果的区块链,其本身并没有加密货币复式记账所需的UTXO模型。重要的TOKEN资产本身是需要货币级别的安全程度,以太坊目前的设计更适合游戏积分之类的合约运行结果。”他还强调,重要的TOKEN资产不适合构建在ERC20体系基础之上。
那加密货币复式记账所需的UTXO模型的区块链项目有哪些,在安全性上又有哪些优势?
声音 | 以太坊开发人员:以太坊社区对于是否集成ProgPoW仍然存在疑问:据CryptoGlobe消息, 在3月15日举行的以太坊开发人员电话会议上,大多数人决定ProgPoW应该作为以太坊网络共识协议的一部分被激活,以太坊社区此前也决定启动ProgPoW。然而与此同时,也有人对此存有疑虑。以太坊项目开发人员和顾问Greg Colvin在会上表示,他确认以太坊区块链网络社区对于是否集成ProgPoW存在疑问。据Odaily星球日报此前消息,以太坊基金会社区关系经理Hudson Jameson指出,对ProgPow的审计尚未开始,对该提案进行两次单独审计的原始计划可能不会完全按计划进行。核心开发人员重申ProgPow仍是一个被批准的提案,或者在ETH伊斯坦布尔升级中加入,或者作为一个单独的硬分叉供用户升级。[2019/3/18]
比特币的UTXO模型经过了多年较为稳定的运行和测试,性能和安全性都有较大的优势。而以太坊的账户模型理解起来比较容易,但是需要考虑更多复杂的临界情况来防止双花攻击和重播攻击。另外做资产交易的量子链和比原链也采用了UTXO模型。
其中使用扩展UTXO模型BUTXO的比原链,把资产作为新的UTXO形式进行交互,不仅支持无限种类的资产,而且拥有了图灵完备的智能合约。同时杜绝了以太坊帐户模型所存在的数据溢出,或者各种其它漏洞的出现,兼具灵活性和可控性。
对比以太坊,比原链的优势有三点:
第一,比原链天然支持多资产,在比原链上的每一笔资产都是一个UTXO,而不是用智能合约来模拟的。据比原链开发团队朱益祺表示,比原链交易的设计思路其实更接近比特币,即一切都基于UTXO。每一笔比原链上的资产UTXO都是由图灵完备的智能合约守护。在比原链的设计中账户只驻留在本地,唯一上链的就是智能合约,而且每一笔交易都会自动生成一个新的智能合约。
第二,比原链的发型资产的职能合约是天生自带的,不像以太坊上都是由开发者编写的,水平参差不齐的话,则会有安全风险。比原链的合约调用是创建智能合约的时候就将调用合约作为子合约加入进来,以后不管调用的合约模版是否更改或出现漏洞,都不会影响所有已经完成的智能合约。
第三,比原链的合约调用更安全,调用别的智能合约更像是调用一个镜像,而不是调用一个底层合约的最新状态。由于以太坊的合约调用是把地址当指针使用,一旦以太坊的底层库函数即公用合约调用出错,所有合约的指针都将被破坏。作为管理成千上万种资产的公链,比原链在合约调用的设计中对指针合约的使用进行了规避。比原链的合约调用是创建智能合约的时候就将调用合约作为子合约加入进来,以后不管调用的合约模版是否更改或出现漏洞,都不会影响所有已经完成的智能合约。
比原链的目标是做资产管理的专用型公链,比起近期漏洞频出的以太坊智能合约,比原链有希望在打造世界级的安全区块链平台的路上走得更远,同时也需要时间的验证。
版权声明:(http://creativecommons.org/licenses/by-nc-sa/3.0/cn/)作者保留权利。文章为作者独立观点,不代表巴比特立场。发文时比特币价格¥48173.42
来源链接:www.8btc.com
本文来源于非小号媒体平台:
巴比特
现已在非小号资讯平台发布1篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/3626831.html
以太坊ETH漏洞风险安全公链
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
上一篇:
「空气币」是靠什么火起来的?投资者风险意识才是关键
通证通研究院×FENBUSHIDIGITAL联合出品文:宋双杰,CFA;王新刚 特别顾问:沈波;Rin 导读 2018年8月,DharmaLabs联合创始人和首席运营官BrendanForster一篇《AnnouncingDe.Fi.
1900/1/1 0:00:00Gate.io发布安卓手机APP2.4.7新版.下载地址:https://www.gateio.co/mobileapp手机扫码下载:本次版本2.4.7更新内容:1.新增账单功能,通过钱包-账单-可以查看相关账单信息.
1900/1/1 0:00:00来自加密货币交易所Bitfinex官方的消息称,纽约最高法院法官JoelCohen已签署了一项命令,批准了Bitfinex和Tether反对总检察长提出的“文件要求”动议.
1900/1/1 0:00:00最近一个月,对于中国市场来说,是极不寻常的一个月,中国经历的挑战可以说真的是前所未有。全球市场经济的捍卫者,全球经济规则的主导者美国开始不顾姿势的对中国进行全面的围堵.
1900/1/1 0:00:00以太坊经典EthereumClassic最近遭受了51%攻击,让市场对PoW机制加密货币的安全性心存疑虑。紧接着,DASH也陷入了麻烦.
1900/1/1 0:00:00当今时代是数字货币时代,平均每十个人里就有三个人在炒币。庞大的用户量,催生了大量的区块链交易平台运营商和虚拟货币存储介质生产商投入其中,通过沟通用户间的交易来获取利益.
1900/1/1 0:00:00