DAO:危及ERC20智能合约、让代币价值归零的溢出漏洞到底是什么？_Gnosis Safe

7月8日下午，降维安全实验室监控到，以太坊智能合约AMR存在高危风险交易。团队对代码进行分析，发现其中存在的整数溢出漏洞已被人恶意利用，导致AMR大量增发。今年4月份，攻击者也曾利用该漏洞攻击美图合作的美链BEC，导致市场上顿时出现海量BEC，货币价值几乎归零。那么，整数溢出漏洞是什么？可以从我们熟悉的登陆密码说起。程序怎么判断用户输入密码的正误呢？后台的操作是这样的，先让用户输入密码，然后再调取真正的密码，与之对比，如果差异为0，则输出密码正确，否则错误。这在用户输入正确密码或错误密码时都很好判断。但是，由于后台留给密码的存储空间是有限的，如果此时用户输入的数据超出4个字节，那么将会出现字符溢出。如果程序事先没有被设置对溢出进行判断的话，溢出的字符将使系统报错或关闭。我们再来看此次整数溢出漏洞的缺陷代码片段：该片段出现在一个叫“multiTransfer”的函数中，函数的作用是让一个地址可以同时给多个地址转账。问题代码中的totalTokensToTransfer计算出一共要支出的币的总量，tokens是最终给每个地址转账的金额。由于项目方给totalTokensToTransfer变量赋值时未进行溢出判断，导致当tokens参数非常大时，totalTokensToTransfer变量进行数次计算后溢出为溢出值，系统即认为本次转账总金额为溢出后的值，由此便绕过余额检查的步骤继续完成交易，但实际上其转账金额远大于钱包所含金额。于是系统凭空转出巨额代币，黑客将其在市场上抛售获利。今年6月份，安比实验室对以太坊上部署的合约进行的分析检测，发现共有866个合约存在相同问题。为什么会存在这些漏洞呢？Bcsec安全团队表示，这类漏洞本质是由于编程人员的疏忽造成的，之所以在以太坊ERC20中较大规模蔓延，是由于很多新上线的合约直接copy自一些合约模板，而未对其进行严格的安全评估，因此新项目如要使用应尽量确保其合约的安全性，才可以代表资产进行交易。我是作者黄雪姣，区块链项目报道/交流可加微信hxjiapg，劳请备注职务和事由。

区块链低代码开发平台提供商Morpheus Labs与腾讯云签署谅解备忘录:7月22日消息，区块链低代码开发平台提供商Morpheus Labs宣布与腾讯云签署谅解备忘录，旨在推动Web3游戏和元宇宙创新，促进Web3生态系统的发展。据该谅解备忘录，腾讯云和Morpheus Labs的合作将涵盖数字技术、区块链和Web3相关解决方案开发，并将共同构建一个快速、安全且可扩展的综合开发环境。双方主要关注亚太地区，寻求为游戏和区块链其他垂直领域的老牌和新兴公司提供服务，以加速各自市场增长。[2023/7/22 15:52:22]

GnosisDAO提案建议将Gnosis Chain上2500万枚xDAI存入DSR:6月23日消息，GnosisDAO 社区发起一项新提案，建议将 Gnosis Chain 上 2500 万枚 xDAI 存入 DAI 储蓄率 (DSR)，Gnosis Chain 用户可以用 xDAI 来铸造 GC sDAI 并累积 DSR 储蓄收益。理论上，Gnosis Chain 上的 DSR 收益率始终高于以太坊主网上，因为只有所有 xDAI 都被质押，才能实现利率平衡。

注：DSR 是由 MakerDAO 治理设定的可变利率，允许 DAI 持有者通过将他们的 DAI 锁定在 DSR 合约中来赚取储蓄收益。[2023/6/23 21:55:50]

Open Campus DAO正式成立，EDU持有者将可参与社区治理:6月16日消息，Web3教育协议Open Campus宣布成立Open Campus DAO。EDU持有者可通过提案流程参与DAO的治理。

此外，Open Campus DAO内设理事会，Animoca Brands创始人Yat Siu等5人担任理事会成员，负责审查和验证EDU持有人提交给理事会的提案是否符合DAO治理框架下标准所要求的标准，以及管理和监督EDU代币持有人成功批准的提案的实施等。[2023/6/16 21:42:00]

标签：DAODAIGNOTOTPieDAO DEFI Small CapYFDAI价格Gnosis Safetotm币最新消息

AVAX热门资讯