火星链 火星链
Ctrl+D收藏火星链
首页 > 火币APP > 正文

atc:输入这串数字,你也能在这12种数字货币上获利千万

作者:

时间:1900/1/1 0:00:00

编者按:本文转载自“区块律动BlockBeats”,作者:,36氪经授权转载。

昨日中午,黑客利用以太坊ERC-20智能合约中BatchOverFlow漏洞中数据溢出的漏洞攻击蔡文胜旗下美图合作的公司美链BEC的智能合约,成功地向两个地址转出了天量级别的BEC代币,导致市场上海量BEC被抛售,该数字货币价值几近归零,给BEC市场交易带来了毁灭性打击。

区块链安全公司PeckShield目前已经发现除了BECToken之外,还有超过12多个项目Token的智能合约中存在BatchOverFlow整数溢出漏洞,黑客可以利用这一漏洞转账生成「不存在」的虚拟货币并进行交易获利。

被黑客攻击的BEC交易量数小时内形成价格「瀑布」,币值归零。目前BEC官方团队已经暂停一切交易和转账,将对Okex交易所的交易回滚到黑客充币之前。

Sei发布主网Pacific-1测试版,开放空投申领:8月17日消息,据官方公告,Sei 主网公开测试版 Pacific-1 现已发布,Atlantic 和空投奖励同时开放领取。用户可在空投申领页面检查资格并参与跨链空投以及 Atlantic 贡献者的奖励领取。

需要注意的是,用户需将 Compass 钱包更新至最新版本 0.7.9,0.7.8 及以下版本将无法领取代币。[2023/8/17 18:04:48]

黑客绕过验证后生成“李鬼”币

PeckShield团队今日凌晨发布安全报告,提到黑客利用in-the-wild手段抓取以太坊ERC-20智能合约中的「BatchOverFlow」这个整数溢出漏洞来进行攻击。

利用这个漏洞,黑客可以通过转账的手段生成合约中不存在的、巨量的Token并将其转入正常账户,账户中收到的Token可以正常地转入交易所进行交易,与真的Token无差别。

安徽:免费提供区块链存证加强版权保护:金色财经报道,4月20日召开的安徽省知识产权保护工作情况新闻发布会上获悉,2022年,安徽省以技术创新提升版权保护能力。试点搭建安徽版权在线数字服务平台,优化提升版权存证确权、授权交易、监测维权服务水平,面向省内中小微企业免费提供区块链存证、全网监测维权、定期维护增值等服务。目前,该平台已注册用户超过8000户,完成作品登记30万件,实现区块链存证确权9.1万件。[2023/4/21 14:18:07]

PeckShield的安全预警报告中提到了该漏洞的具体细节,这个漏洞出现在BEC智能合约的batchTransfer函数当中,代码如下图所示。

大家请注意第257行,cnt和_value的计算结果生成了局部变量。第二个参数,即_value,,可以是一个任意的256字节整数,就比如是:0x8000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000。

加密货币托管机构Fireblocks:2022年度经常性收入已超1亿美元:9月12日消息,加密货币托管机构 Fireblocks 宣布其 2022 年度经常性收入 (ARR) 已超过 1 亿美元,该指标与基于订阅获得的经常性收入有关,表明熊市期间探索加密用例的公司和投资者数量并未减少。

此外,Fireblocks 还透露后续将探索 Stablecoin 发行、NFT 资金管理和加密支付解决方案并公开了一批合作伙伴信息,包括法国巴黎银行、Six Digital Exchange、澳新银行、FIS、Checkout.com、MoonPay、Animoca Brands 和 Wirex 等行业领导者。(Cointelegraph)[2022/9/12 13:24:22]

通过将两个_receivers注入到batchTranser(),再加上这个极其大的_value,我们就能使得量溢出,将其amount的量变成0。通过将量回归到0,攻击者就可以绕过258行到259行的合理性检测,使得261行的差值变得不再相关。

数据:ETH矿工收入达1个月高点:金色财经消息,Glassnode数据显示,ETH矿工收入达到1个月高点,为1,522,810.99美元。[2022/7/21 2:27:26]

最后,出现了一个非常有趣的结果:你们可以看262行到265行,两个receriver的余额上增加了超级大的_value,而这一切都不会花费攻击者钱包里哪怕一毛钱!

随后PeckShield团队利用自动化系统扫遍了以太坊智能合约并对它们进行分析。结果发现,有超过12个ERC-20智能合约都存在BatchOverFlow安全隐患。

为了验证该漏洞存在的真实性,PeckShield团队对其中一个智能协议进行了相似的攻击。

PeckShield团队还对一个未在交易所上线的以太坊宠物游戏CryptoBots进行了BatchOverFlow安全性攻击,并成功地在该协议上「生成」了57,896,044,618,658,100,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000枚代币CBTB。

总币数已经超过合约规定的2万枚CBTB。

CryptoBots这款游戏目前正在以太坊上进行交易,但通过数据查看后发现该游戏的实际游玩人数并不高,只有寥寥几十人在玩。

PeckShield创始人蒋旭宪教授表示,「理论上可以把这个游戏中所有的道具都买下来。」

除了BEC和CryptoBots两个智能合约之外,还有十余个智能合约存在同样的漏洞,其中也包括已经在交易所上进行交易币种。

出于安全考虑,目前PeckShield已经与相关项目团队进行了联系,暂时不能曝光这批项目的名称。

区块链安全难道只靠回滚?

BEC智能合约出现这个漏洞之后,黑客在2小时后开始往OKEx的地址充币进行交易,因为市场上出现大量未知来源的Token,市场上出现恐慌心理,OKEx交易所上的持币者开始抛售BECToken,导致BEC价格持续下跌,币值几乎归零。

下图中我们可以看到黑客先是试探性地往OKEx中转入100万的BECToken,黑客发现成功转入卖出后,又分2次转入了1000万的BECToken,发现两次都成功,便转入了1亿枚BECToken。

但这1亿枚BECToken转入后,OKEx已经发现问题并停止了BEC的交易。

按照转入记录,预计黑客已经卖出了最少1100万枚BEC,折合昨日售价约1887万人民币。

下午4点12分,OKEx发布声明中止了相关交易。BEC团队也公告表示将与OKEx交易所合作回滚到黑客转入Token之前的数据以保护投资者的权益。

PeckShield团队认为,因为以太坊区块链上所谓「代码即一切」的原则精神的存在,导致目前没有有效的安全防护手段来修复这些问题,而且因为Token交易背后牵扯着巨大的利益,是无法在多个交易所进行同步防护的。

因为中心化交易所只是对Token进行记账式的交易,项目团队与交易所配合之后回滚是可以一定程度上保护投资者利益的,但是如果在去中心化交易所进行交易那么投资者的损失将无法挽回,同时,利用交易所反应的时间差,黑客也可以实现在多个交易所套利。

知乎作者爬虫认为该漏洞很容易解决,只需要对计算结果进行safeMath的安全验证就可以,同时表示区块链智能合约代码需要测试、需要review,必要时可以请专门做代码审计的公司来进行测试。

前有OKEx回滚期货交易,后有OKEx回滚BEC交易,为什么区块链上的安全问题总是要靠回滚来解决?如果没法从根本上解决漏洞,那么受害的不仅仅是投资者,虚拟货币生态中的所有参与者都将遭受巨量损失。

标签:BECatc以太坊BEC币BEC价格atc币是什么币以太坊币是什么币

火币APP热门资讯
以太坊:初学者必看!区块链技术领域常见术语大盘点

区块链兄弟社区,区块链技术专业问答先行者,中国区块链技术爱好者聚集地 作者:Tiny熊 来源:深入浅出区块链 原文链接:https://learnblockchain.cn/著权归作者所有.

1900/1/1 0:00:00
恒星币:踪迹遍布全国,多人被,这种“区块链”投资是!

近日,网络上有个热搜词,叫做“区块链大妈”:说的是在最近一场号称万人狂欢的世界区块链峰会上,“中国大妈”再次成为全场焦点.

1900/1/1 0:00:00
区块链:他是中国比特币之父,身价60亿,曾是新东方的老师

他被网传手握6位大数比特币,是扑克牌排名第四的币圈大佬。他又是超级知识IP,被众多年轻人视为偶像。没错,此乃李笑来是也。近日,比特币再一次大火,把这位币圈首富又一次推上了风口浪尖.

1900/1/1 0:00:00
加密货币:是硬币太值钱?这个国家用一枚硬币就能换一大扎啤酒

如同世界上大多数国家一样,捷克的货币也同样是由纸币和硬币组成的,尽管捷克共和国是欧盟的正式成员国,但是捷克并没有加入欧元区,很多官方机构也很少接收欧元.

1900/1/1 0:00:00
比特币:无币区块链,对区块链精神的反动

大谈“无币区块链”的人,至少对区块链精神是无知的。区块链技术,最简单的理解就是分布式账本记账。一大群互不相识的人,每人手上都有一个电子账本,发生任何一笔有效交易时,都会记录在自己的账本中.

1900/1/1 0:00:00
RES:又倒下一家!郎咸平站台爆雷魔咒:云联惠、泛亚、快鹿…

来源:互金侦探综合自金策师财经、金融街侦探5月9日凌晨,广州市局官方微博通报了一起特大网络犯罪案件,一定有很多叔叔阿姨看到这条微博后,彻夜难眠.......该公司以“云联商城”.

1900/1/1 0:00:00