以太坊:以太坊网络君士坦丁堡升级的漏洞细节_LIT

即将到来的以太坊网络Constantinople升级为SSTORE操作引入了更便宜的gas成本。作为一种不必要的副作用，当在Solidity智能合约中使用address

functiondeposit(uintid)publicpayable{deposits+=msg

functionupdateSplit(uintid,uintsplit)public{require(split<=100);splits=split;}functionsplitFunds(uintid)public{//Herewouldbe://Signaturesthatbothpartiesagreewiththissplit//Splitaddresspayablea=first;addresspayableb=second;uintdepo=deposits;deposits=0;a

基于以太坊的农业科技公司Dimitra Incorporated完成650万美元融资:金色财经报道，基于以太坊区块链的农业科技公司Dimitra Incorporated通过发行Dimitra Token完成650万美元融资，旨在加速其开创性Connected Farmer平台发展，该平台通过集成人工智能、区块链、卫星和无人机等先进技术，帮助小农记录他们的农业活动、开发和生成详细的报告，并获得有助于他们做出更好决策的见解。Dimitra Token作为基于ERC-20的实用代币在以太坊网络上推出，可在Dimitra平台内无缝连接，为农民提供激励，交易可通过 Etherscan 和以太坊区块链进行验证。（accesswire）[2022/9/27 22:32:23]

}<新的易受攻击代码的示例>该代码以一种意想不到的方式受到攻击：它模拟一种安全的资金均摊服务。双方可以共同接收资金，决定如何split资金以及接收支付。攻击者可以创建这样一对地址，其中第一个地址是以下列出的攻击者合约，第二个地址是任何攻击者账户。该攻击者将充值一些钱。pragmasolidity^0

以太坊2.0存款合约地址余额突破19万ETH，当前进度36.4%:据欧科云链OKLink数据显示，当前以太坊2.0存款合约地址已收到190816.0ETH，有86个地址完成32ETH的抵押，距离524288枚ETH启动以太坊2.0创世区块的最低要求已完成36.4%。[2020/11/22 21:38:04]

functionattack(addressa)external{victim=a;PaymentSharerx=PaymentSharer(a);x

function()payableexternal{addressx=victim;assembly{mstore(0x80,0xc3b18fb600000000000000000000000000000000000000000000000000000000)pop(call(10000,x,0,0x80,0x44,0,0)。functiondrain()external{owner

以太坊联合创始人：以太坊2.0将成为以太坊1.0上“最大和最复杂DeFi应用”:以太坊联合创始人兼软件公司ConsenSys创始人约瑟夫·鲁宾（JosephLubin）在最近接受YouTube频道BaselineProtocol采访时表示，以太坊1.0将会永远存在，原因是以太坊2.0只是从以太坊1.0自然过渡，以太坊1.0永远不会消失，以太坊1.0正在演变为以太坊1.5，它将是无状态的，并且容易被以太坊2.0吸收。以太坊2.0正在到来，现在正处于最终测试网的中间阶段，不同团队构建了许多以太坊2.0客户端，因此需要在测试网上进行流畅操作测试。约瑟夫·鲁宾还表示，以太坊2.0将成为以太坊1.0上的“最大和最复杂DeFi应用”。（Cointelegraph）[2020/9/12]

}<攻击者合约列为第一个地址>该攻击者将调用自己合约的attack函数，以便在一个交易中披露以下的事件：1、攻击者使用updateSplit设置当前split，以确保后续升级是便宜的。这是Constantinople升级的结果。攻击者以这样的方式设置split，即第一个地址(合约地址)接收所有的资金。2、攻击者合约调用splitFunds函数，该函数将执行检查*，并使用transfer将这对地址的全部存款发到合约。3、从回调函数，攻击者再次更新split，这次将所有资金分配到攻击者的第二个账户。4、splitFunds的执行继续，全部存款也转到第二个攻击者账户。简而话之，攻击者只是从PaymentSharer合约中偷走了其他人的以太币，并且可以继续。为什么现在可以攻击？

BitMEX首席执行官：以太坊下一个目标是500美元:金色财经报道，BitMEX首席执行官兼联合创始人Arthur Hayes表示，他对以太坊飙升至400美元感到惊讶，这是自2018年夏天以来的最高水平。他认为以太坊的下一个目标是500美元。[2020/8/4]

在Constantinople之前，每个storage操作都需要至少5000gas。这远远超过了使用transfer或send来调用合约时发送的2300gas费。在Constantinople之后，正在改变“dirty”存储槽的storage操作仅需要200gas。要使存储槽变的dirty，必须在正在进行的交易期间更改它。如上所示，这通常可以通过攻击者合约调用一些改变所需变量的public函数来实现。然后，通过使易受攻击的合约调用攻击者合约，例如，使用msg.sender.transfer(...)，攻击者合约可以使用2300gas费成功操纵漏洞合约的变量。必须满足某些先决条件才能使合同变得易受攻击：1.必须有一个函数A，函数中transfer/send之后，紧跟状态改变操作。这有时可能是不明显的，例如第二次transfer或与另一个智能合约的互动。2.攻击者必须能够访问一个函数B，它可以(a)改变状态,(b)其状态变化与函数A的状态发生冲突。3.函数B需要在少于1600gas时能执行(2300gas费-为CALL提供700gas）。我的合约是否易受攻击？要测试您是否容易受到攻击：检查transfer事件后是否有任何操作。检查这些操作是否改变了存储状态，最常见的是分配一些存储变量。如果你调用另一个合约，例如，token的transfer方法*，检查哪些变量被修改。做一个列表。检查合约中非管理员可以访问的任何其他方法是否使用这些变量中的一个。检查这些方法是否自行改变存储状态。检查是否有低于2300gas的方法，请记住SSTORE操作只有200gas。如果出现这种情况，攻击者很可能会导致您的合约陷入不良状态。总的来说，这是另一个提醒，即为什么Checks-Effects-Interactions模式如此重要。作为节点运营商或矿工，我需要做什么？

下载最新版本的以太坊客户端：最新的geth客户最新的Parity客户端最新Harmony客户端最新的万神殿客户端最新的Trinity客户端以太坊钱包/迷雾的最新版本|作者：ChainSecurity|翻译：猎豹区块链安全团队

标签：以太坊LITTRAGAS比特币以太坊最新消息分析agility币最新消息DecentraBNBgas币局

Gateio热门资讯