ETF:細節！EOS抵押漏洞分析_DEOS Games

編者按：本文來自數字彗星科技，星球日報經授權發布。針對前段時間EOS漏洞問題，本文將進行整體細節的回顧，希望大家提起安全意識，但也不要過度恐慌，正確看待安全問題。一、事件概述6月22日凌晨，EOS官方社區發布消息稱：發現EOS漏洞，用戶抵押投票的代幣在漏洞修復之前都無法贖回。隨后我們根據相關消息對該漏洞進行驗證確認該漏洞確實存在，且在漏洞修復前，通過精心構造的攻擊使得特定用戶資產進行無限期抵押，無法贖回。我們知道EOS采用DPoS共識機制，該機制通過社區投票選舉21個超級節點來維護EOS網絡，為EOS網絡提供算力、帶寬以及存儲支持。用戶投票不需消耗EOS，但EOS會被鎖定。用戶可以隨時申請贖回抵押的EOS，申請贖回后72小時后到賬，同時，投票將被扣減。此次漏洞事件發生在EOS贖回過程中，如果其他用戶抵押EOS給贖回用戶，系統首先將贖回用戶贖回過程中的EOS進行再次抵押。我們已經知道申請贖回的EOS需要72小時才能到賬，如前所訴，通過精心構造的攻擊理論上使得指定用戶資產進行無限期抵押，對用戶造成嚴重危害。二、漏洞攻擊流程1.假設被攻擊用戶擁有0.0005個正在贖回途中EOS。

動態 | 以太坊柏林硬分叉時間尚未確定 細節仍在討論中:今日外媒報道，根據以太坊開發人員Tim Beiko的說法，在伊斯坦布爾硬分叉（日期定為12月4日）之后，將進行以太坊柏林硬分叉升級，時間暫定為2020年6月。經查詢，目前以太坊柏林升級時間尚未確定，眾多細節仍在討論之中。根據GitHub，柏林硬分叉暫定接受EIP-663、EIP-1057（ProgPoW）、EIP-1380、EIP-1702等8個提案。[2019/11/2]

2.此時攻擊者向贖回用戶抵押0.0001個EOS。

聲音 | BB：關于VOICE在中國的落地細節將會很快公布:據MEET.ONE消息，Block.one CEO BB剛剛在電報群解答社區對Voice的疑問，要點如下： 1.可以把voice看作是有史以來最公平的token分配。 有了voice，用戶KYC之后，每個人每天都有平等的話語權； 2.針對為什么要KYC的質疑，BB回復：Voice是有能力匿名發布的，但出于合規考慮，KYC是難以避免的。如果你寧愿使用一個出售你的數據去獲利的平臺，也不愿意KYC的話，你也可以選擇保持現狀。另外，我們的KYC會遵守法律, 不會公布個人信息； 3.從價值和用戶體驗的角度來說，我們相信Voice的積極影響遠遠超過消極一面的, 大眾會很快意識到這一點 ； 4.我們正在努力解決唯一身份驗證問題，它的確切形式還有待最終確定, 我們希望利用KYC將價值返還給用戶； 5.關于“中國用戶能否 KYC”的問題，BB回復稱更多關于中國用戶落地細節很快會發布。[2019/6/5]

3.交易生效后，我們看到攻擊者的余額沒有發生變化，而贖回用戶正在贖回途中的0.0001個EOS被迫再次進行抵押。

動態 | Bitwise比特幣ETF提案公布更多細節:據Coindesk報道，Bitwise和紐約證券交易所Arca本月早些時候提出了比特幣ETF提案，Arca已在其網站上發布了申請文件。該公司在首次公布ETF提案時曾表示，與之前的此類申請不同，Bitwise的比特幣ETF將利用受監管的第三方托管人存儲比特幣，還將從大量交易所（包括現貨和實物結算的期貨市場）中提取定價數據，以計算確定資產價值的指數。最近公布的提案文件詳細說明了該方法，例如，這些價格將“加權，以便使提取數據一小時前交易量較大的交易所比交易量較低的交易所所占權重更高”。交易所認為，擬議的規則變更旨在防止欺詐和操縱行為，并保護投資者和公眾利益。此前美國證券交易委員會在拒絕其他比特幣ETF提案時，強調了對市場操縱的擔憂。[2019/1/26]

三、漏洞原理解析攻擊流程圖中的攻擊命令如下：cleos--wallet-urlhttp://localhost:6666--urlhttp://mainnet.genereos.io:80systemdelegatebw(attacker)(victim)"0.0001EOS""0.0000EOS"--transfer由于攻擊者在調用命令時加入了--transfer參數，在調用到抵押函數delegatebw時會調用changbw函數，此時transfer為true

當transfer變量為true時，from地址變成被攻擊對象的地址，

接下來被攻擊對象的數據被修改，EOS再次抵押，

四、漏洞緩解方案綜合以上分析，本文建議修改部分業務邏輯緩解和修復該抵押漏洞。1.transfer參數不管是否為true，都應該直接在抵押發起方余額中扣除；2.梳理相關業務邏輯，審查是否存在類似漏洞。五、漏洞分析總結通過以上分析，通過精心構造的攻擊使得特定用戶資產進行無限期抵押，無法贖回。利用緩解方案的措施修補代碼能夠有效緩解和修復該漏洞。

Tags：EOSICEETF比特幣DEOS GamesBlockVoiceMetFX Watch To Earn比特幣市值多少億

萊特幣最新價格