據悉,Ultrain技術團隊核心成員近期在閱讀EOSchainbase開源代碼時,發現其底層實現存在可導致EOS全網宕機隱患的致命安全漏洞,并立即將問題詳細描述及修復辦法提交至EOS團隊。近日,EOS團隊已正式將修復提交EOS代碼主分支,并對于Ultrain@raymondnuaa表示多次致謝!
公鏈EOS采用chainbase內存數據庫存儲世界狀態,包括鏈上所有賬號詳情、部署的所有智能合約以及所有歷史交易形成的狀態修改等內容。chainbase的安全性與穩定性是保證公鏈EOS穩定運行的重中之重。
Ankr將推出Ultra Sound Infrastructure,即將啟動節點合作伙伴計劃:7月25日消息,Web3基礎設施提供商Ankr發文介紹Ultra Sound Infrastructure,將很快啟動節點合作伙伴計劃,以提高超過30個區塊鏈生態系統中區塊鏈RPC連接的性能和效率,已得到微軟和騰訊云的支持。
Ankr表示,通過參與該計劃,未來的節點提供商可以通過為Ankr的RPC客戶提供付費流量來獲得穩定的收入來源。
ANKR代幣在Ultra Sound Infrastructure計劃中發揮著重要作用,不僅是RPC客戶訪問區塊鏈數據的支付方式,也將為新節點運營商合作伙伴提供付款方式。[2023/7/26 15:58:24]
EOS該安全漏洞由chainbase對數據庫回滾操作的錯誤處理順序引發。chainbase內存數據庫底層有removed、created、modified三個stack來存儲區塊內交易對數據庫對象所進行的刪除、創建、修改操作,如果該區塊未能成功添加到區塊鏈主鏈,則需要對該區塊內所有交易對內存數據庫做的所有修改進行回滾。EOS對三個stack的原有回滾處理順序為:modified,created,removed,在該處理順序下,如果將數據庫某個已有對象A的鍵值修改,并創建一個新的對象B采用前述對象A的原有鍵值,那么在進行回滾時,會先嘗試將對象A修改過的數值恢復,此時會產生鍵值沖突,導致底層庫進入死循環狀態。一旦進入該狀態,EOS節點則無法正常繼續生產區塊。若惡意攻擊者構造觸發該狀態的交易廣播至全網執行,則EOS全網存在宕機隱患。
Multichain 發布漏洞事件調查報告,將全額補償用戶損失:2月19日消息,跨鏈流動性協議 Multichain 今日發布此前漏洞事件的調查報告,稱在今年 1 月 10 日收到來自 Dedaub 的多鏈流動性池合約和路由器合約的兩個嚴重漏洞警報,后來證實這會影響八種代幣(WETH、WBNB、MATIC、AVAX等)。通過將受影響的代幣流動性升級為新合約,流動性池的脆弱性在報告后很快得到修復。但是,對于尚未撤銷對受影響路由器合約批準的用戶來說,風險仍然存在。
根據該報告,共有7962個用戶地址受到影響,其中4861個地址已撤銷批準,其余3101個地址尚未撤銷,仍需盡快采取行動。總共有 1,889.6612 WETH 和 833.4191 AVAX 被利用,當前總價值約530萬美元,其中約一半資產在 Multichain 和白帽的共同努力下被救出。
針對受損失用戶,該項目團隊發起 100% 補償用戶損失的提案,資金(包括礦工費)將退還給 已撤銷合約批準和服務臺提交工單的用戶,但不再賠償 UTC 時間 2 月 18 日 24:00 之后發生的任何損失。同時,團隊將獎勵 Dedaub 最高 100 萬美元的漏洞賞金。[2022/2/19 10:02:55]
發現問題后,EOS開發團隊按@raymondnuaa建議將stack處理順序修改為created,modified,removed,可正常處理前述場景。此外,@raymondnuaa在問題描述中還詳細描述了另一個更加復雜的兩個對象鍵值交換的場景,并指出僅靠調整三個stack的處理順序無法解決問題。EOS在此次修改中也增加了大量注釋,明確了chainbase內對象的使用需求限制,指出chainbase的特定字段不能在modifier中進行修改,并對deferred_transaction的modify處理做了相應修改。
Multicoin合伙人:今年更看好規模小一些的資產,很多會有5至10倍收益:加密貨幣投資機構Multicoin Capital管理合伙人Kyle Samani,在Crypto Tonight的活動中表示,對比特幣的走勢沒有很強烈的觀點,但是更看好規模小一些的資產,其中很多他認為今年會有5到10倍收益,因為開發者在過去幾年進行了很多的技術建設,它們終于開始收到成效,我們很興奮看到這些新技術走向成熟。[2020/4/10]
公鏈是促進區塊鏈行業繁榮發展的一個重要角色,相信有如Ultrain這樣致力于提升基礎設施安全的公鏈存在,整個行業將會更加健康有序發展。
詳情鏈接:
https://github.com/EOSIO/eos/pull/7266
https://github.com/EOSIO/chainbase/pull/44
1、宏觀新聞 伊朗央行為金融業開發區塊鏈平臺“Borna”中東和北非地區獨立報告與分析平臺Al-Monitor發布一份報告顯示,伊朗央行一直在開發一個名為Borna的平臺.
1900/1/1 0:00:00本文觀點僅代表個人,僅限交流學習,所有內容不構成任何投資建議。想及時了解更多行情信息,請關注公號:保羅大帝,或添加官方微信:jiamibaoluo.
1900/1/1 0:00:00近日,知心姐挑釁、怒罵維權者的微博吸引了新浪微博CEO王高飛等大V的關注。從知心姐2017年在幣圈“成名”到2018年跑路“消失”,再到如今微博高調罵人,時間已經過去了兩年多.
1900/1/1 0:00:00據統計,2019年4月,全球區塊鏈領域共斬獲37筆融資,項目數量接近3月份,但融資總額僅為13.39億元,環比下降了69.7%.
1900/1/1 0:00:00近日,POS機制下的商業模式Staking成為了高頻詞匯,業內有聲音稱其“有著極大的商業潛質,甚至有可能開啟挖礦2.0時代.
1900/1/1 0:00:00EOS看漲期權 代碼周EOS看漲0513期權標的EOS合約類型歐式看漲期權計價單位USDT最小價格單位0.0001USDT合約比例1:4.
1900/1/1 0:00:00