EOS:Ultrain超脑链发现并协助修复EOS致命安全漏洞并获官方致谢

据悉，Ultrain技术团队核心成员近期在阅读EOSchainbase开源代码时，发现其底层实现存在可导致EOS全网宕机隐患的致命安全漏洞，并立即将问题详细描述及修复办法提交至EOS团队。近日，EOS团队已正式将修复提交EOS代码主分支，并对于Ultrain@raymondnuaa表示多次致谢！

公链EOS采用chainbase内存数据库存储世界状态，包括链上所有账号详情、部署的所有智能合约以及所有历史交易形成的状态修改等内容。chainbase的安全性与稳定性是保证公链EOS稳定运行的重中之重。

DAO管理工具Coordinape推出自动化资金分配工具CoVaults:8月26日消息，据外媒报道，DAO管理工具Coordinape推出自动化资金分配工具CoVaults，允许DAO通过该工具使用ERC-20代币向贡献者提供奖励。此外，DAO还可以使用DAI或USDC创建此类Vaults并通过Yearn获取收益。（CoinDesk）[2022/8/26 12:49:49]

EOS该安全漏洞由chainbase对数据库回滚操作的错误处理顺序引发。chainbase内存数据库底层有removed、created、modified三个stack来存储区块内交易对数据库对象所进行的删除、创建、修改操作，如果该区块未能成功添加到区块链主链，则需要对该区块内所有交易对内存数据库做的所有修改进行回滚。EOS对三个stack的原有回滚处理顺序为：modified，created，removed，在该处理顺序下，如果将数据库某个已有对象A的键值修改，并创建一个新的对象B采用前述对象A的原有键值，那么在进行回滚时，会先尝试将对象A修改过的数值恢复，此时会产生键值冲突，导致底层库进入死循环状态。一旦进入该状态，EOS节点则无法正常继续生产区块。若恶意攻击者构造触发该状态的交易广播至全网执行，则EOS全网存在宕机隐患。

Multichain黑客事件仍有价值近150万美元的以太坊未归还:金色财经报道，本周早些时候，攻击跨链协议 Multichain 的黑客之一已将 322 ETH 返还，并保留了 62 ETH 作为“漏洞赏金”，然而仍有 528 ETH（价值约合 150 万美元） 未偿还。Multichain 是一种跨链路由器协议，可在包括比特币、以太坊和 Terra 在内的 30 个不同区块链之间桥接，本周的漏洞影响了协议上的六个代币：Wrapped ETH (WETH)、Peri Finance Token (PERI)、Official Mars Token (OMT)、Wrapped BNB (WBNB)、Polygon (MATIC) 和 Avalanche (AVAX) 。Multichain 官方推特宣布该问题已“报告并修复”，首席执行官兼联合创始人 Zhaojun 表示，该漏洞是由于 Multichain 的桥接合约未部署暂停功能以防止未来资金损失。（Decrypt）[2022/1/22 9:05:05]

发现问题后，EOS开发团队按@raymondnuaa建议将stack处理顺序修改为created，modified，removed，可正常处理前述场景。此外，@raymondnuaa在问题描述中还详细描述了另一个更加复杂的两个对象键值交换的场景，并指出仅靠调整三个stack的处理顺序无法解决问题。EOS在此次修改中也增加了大量注释，明确了chainbase内对象的使用需求限制，指出chainbase的特定字段不能在modifier中进行修改，并对deferred_transaction的modify处理做了相应修改。

动态 | Multi-geth已发布支持ETC Agharta硬分叉的客户端:据Github显示，Multi-geth客户端现已发布Multi-geth v1.9.6，该客户端版本将支持以太经典(ETC)Agharta的硬分叉。此前，ETC官方宣布，Agharta硬分叉预计于2020年1月15日进行，升级块高为9573000。[2019/12/15]

公链是促进区块链行业繁荣发展的一个重要角色，相信有如Ultrain这样致力于提升基础设施安全的公链存在，整个行业将会更加健康有序发展。

详情链接：

https://github.com/EOSIO/eos/pull/7266

https://github.com/EOSIO/chainbase/pull/44

标签：EOSAINNBABASEOSDACblockchain钱包登录不了coinbasepro官网下载coinbase币圈

火币交易所热门资讯