月亮链 月亮链
Ctrl+D收藏月亮链

BEC:输入这串数字,你也能在这12种数字货币上获利千万_以太坊币是什么币

作者:

时间:1900/1/1 0:00:00

编者按:本文转载自“区块律动BlockBeats”,作者:,36氪经授权转载。

昨日中午,黑客利用以太坊ERC-20智能合约中BatchOverFlow漏洞中数据溢出的漏洞攻击蔡文胜旗下美图合作的公司美链BEC的智能合约,成功地向两个地址转出了天量级别的BEC代币,导致市场上海量BEC被抛售,该数字货币价值几近归零,给BEC市场交易带来了毁灭性打击。

区块链安全公司PeckShield目前已经发现除了BECToken之外,还有超过12多个项目Token的智能合约中存在BatchOverFlow整数溢出漏洞,黑客可以利用这一漏洞转账生成「不存在」的虚拟货币并进行交易获利。

被黑客攻击的BEC交易量数小时内形成价格「瀑布」,币值归零。目前BEC官方团队已经暂停一切交易和转账,将对Okex交易所的交易回滚到黑客充币之前。

跨链互操作协议Celer已支持Polygon zkEVM:4月20日消息,跨链互操作协议Celer Network宣布其用于资产桥接的cBridge已集成Polygon zkEVM,最初支持在Polygon zkEVM和以太坊、Arbitrum、Optimism和BNBChain、Polygon、Avalanche、Fantom之间的ETH跨链桥接,目前cBridge上新ETH流动性池的大小限制为100枚ETH。[2023/4/20 14:15:13]

黑客绕过验证后生成“李鬼”币

PeckShield团队今日凌晨发布安全报告,提到黑客利用in-the-wild手段抓取以太坊ERC-20智能合约中的「BatchOverFlow」这个整数溢出漏洞来进行攻击。

利用这个漏洞,黑客可以通过转账的手段生成合约中不存在的、巨量的Token并将其转入正常账户,账户中收到的Token可以正常地转入交易所进行交易,与真的Token无差别。

TON推出2000万美元流动性激励计划The Open Challenge:2月5日消息,TON宣布推出2000万美元的流动性激励计划The Open Challenge,旨在增加TON上的TVL。TON表示,该计划对任何有助于为生态带来流动性的DeFi项目开放,奖励将按季度发放,金额根据产品可吸引的资金量而定。[2023/2/5 11:48:00]

PeckShield的安全预警报告中提到了该漏洞的具体细节,这个漏洞出现在BEC智能合约的batchTransfer函数当中,代码如下图所示。

大家请注意第257行,cnt和_value的计算结果生成了局部变量。第二个参数,即_value,,可以是一个任意的256字节整数,就比如是:0x8000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000。

TeraWulf董事长兼首席执行官Paul Prager发表公开信:金色财经报道,TeraWulf董事长兼首席执行官Paul Prager发表公开信,公开信称,过去的一年对于 TeraWulf 和整个加密行业来说是转型的一年。去年,我们的管理团队向公司投资了超过 1500 万美元的个人资本。此外,尽管今年取得了重大进展,但仍有许多工作要做。随着我们过渡到2023年并努力执行我们的计划并追求增长,我们将明确几个优先事项:

1.实现我们在 2023 年第一季度拥有 49,000 个矿工(5.5 EH 哈希率)的目标。

2.利用我们 0.035 美元/千瓦时的混合电力成本,这比行业平均水平低 30%?1。

3.通过执行我们最近宣布的成本削减计划来优化我们的盈利能力。

4.扩展我们向市场提供的网格服务套件。

5.支持以更具协作性的方式进行监管和对规则进行深思熟虑的校准。[2023/1/5 9:53:31]

通过将两个_receivers注入到batchTranser(),再加上这个极其大的_value,我们就能使得量溢出,将其amount的量变成0。通过将量回归到0,攻击者就可以绕过258行到259行的合理性检测,使得261行的差值变得不再相关。

观点:链上交易费用处于“熊市”区间,一旦回升可能就是复苏信号:8月8日消息,加密货币研究机构Glassnode的分析师表示,比特币活跃地址完全处于“一个明确定义的下行通道”。他们补充说,网络活动“表明,到目前为止,新需求的流入仍然很少。”但与此同时,交易需求在最近几周呈横盘或下降趋势,这表明“只有交易员和投资者信心较高的基础仍然存在”。此外,链上交易费用处于“熊市”区间,一旦出现回升,可能就是复苏的信号。

“从历史上看,2022年的熊市对数字资产领域是不利的,”分析师们在一份报告中写道,“然而,在经历了这样一段持续的避险情绪之后,注意力转向了这是熊市缓解性反弹,还是持续看涨冲动的开始。”(彭博社)[2022/8/8 12:08:34]

最后,出现了一个非常有趣的结果:你们可以看262行到265行,两个receriver的余额上增加了超级大的_value,而这一切都不会花费攻击者钱包里哪怕一毛钱!

随后PeckShield团队利用自动化系统扫遍了以太坊智能合约并对它们进行分析。结果发现,有超过12个ERC-20智能合约都存在BatchOverFlow安全隐患。

为了验证该漏洞存在的真实性,PeckShield团队对其中一个智能协议进行了相似的攻击。

PeckShield团队还对一个未在交易所上线的以太坊宠物游戏CryptoBots进行了BatchOverFlow安全性攻击,并成功地在该协议上「生成」了57,896,044,618,658,100,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000枚代币CBTB。

总币数已经超过合约规定的2万枚CBTB。

CryptoBots这款游戏目前正在以太坊上进行交易,但通过数据查看后发现该游戏的实际游玩人数并不高,只有寥寥几十人在玩。

PeckShield创始人蒋旭宪教授表示,「理论上可以把这个游戏中所有的道具都买下来。」

除了BEC和CryptoBots两个智能合约之外,还有十余个智能合约存在同样的漏洞,其中也包括已经在交易所上进行交易币种。

出于安全考虑,目前PeckShield已经与相关项目团队进行了联系,暂时不能曝光这批项目的名称。

区块链安全难道只靠回滚?

BEC智能合约出现这个漏洞之后,黑客在2小时后开始往OKEx的地址充币进行交易,因为市场上出现大量未知来源的Token,市场上出现恐慌心理,OKEx交易所上的持币者开始抛售BECToken,导致BEC价格持续下跌,币值几乎归零。

下图中我们可以看到黑客先是试探性地往OKEx中转入100万的BECToken,黑客发现成功转入卖出后,又分2次转入了1000万的BECToken,发现两次都成功,便转入了1亿枚BECToken。

但这1亿枚BECToken转入后,OKEx已经发现问题并停止了BEC的交易。

按照转入记录,预计黑客已经卖出了最少1100万枚BEC,折合昨日售价约1887万人民币。

下午4点12分,OKEx发布声明中止了相关交易。BEC团队也公告表示将与OKEx交易所合作回滚到黑客转入Token之前的数据以保护投资者的权益。

PeckShield团队认为,因为以太坊区块链上所谓「代码即一切」的原则精神的存在,导致目前没有有效的安全防护手段来修复这些问题,而且因为Token交易背后牵扯着巨大的利益,是无法在多个交易所进行同步防护的。

因为中心化交易所只是对Token进行记账式的交易,项目团队与交易所配合之后回滚是可以一定程度上保护投资者利益的,但是如果在去中心化交易所进行交易那么投资者的损失将无法挽回,同时,利用交易所反应的时间差,黑客也可以实现在多个交易所套利。

知乎作者爬虫认为该漏洞很容易解决,只需要对计算结果进行safeMath的安全验证就可以,同时表示区块链智能合约代码需要测试、需要review,必要时可以请专门做代码审计的公司来进行测试。

前有OKEx回滚期货交易,后有OKEx回滚BEC交易,为什么区块链上的安全问题总是要靠回滚来解决?如果没法从根本上解决漏洞,那么受害的不仅仅是投资者,虚拟货币生态中的所有参与者都将遭受巨量损失。

标签:BECatc以太坊BEC币BEC价格atc币是什么币以太坊币是什么币

币安交易所app下载热门资讯
AGV:奇瑞捷豹路虎在其精益物流中应用了哪些智能物流系统?_AGV价格SPS价格

奇瑞捷豹路虎是国内首家中英合资的高端汽车企业,也是中国审批建设的最后一个内燃机汽车企业。位于常熟的制造工厂是世界最先进、最高效的汽车生产基地之一,被捷豹路虎公司誉为“全球样板工厂”,其先进精益智.

1900/1/1 0:00:00
:辟谣 | 六月朋友圈十大谣言,很多人第一条就中招了…_

六月即将过去 微信安全中心公布了 本月朋友圈十大热传谣言 来看看,你中招过吗? 朋友圈十大谣言 1 热鸭梨水能抗癌 谣言类别:失实报道 指数:★★★★危害指数:★★★★ 谣言内容 北京陆军总.

1900/1/1 0:00:00
区块链:丰收科技宣布完成5000万人民币Pre-A轮融资_区块链存证怎么弄

来源:零壹财经零壹财经 6月20日,专注于供应链金融科技的丰收科技集团宣布,旗下的丰收科技有限公司已经完成来自多个机构的5000万人民币Pre-A轮融资.

1900/1/1 0:00:00
区块链:一文看清全球区块链、虚拟货币、ICO监管态势_MAS币FIN价格

在这场席卷全球的区块链技术、数字资产变革中,除全面了解中国政府的立场外,我们仍需掌握其他国家在新兴领域的态度和布局.

1900/1/1 0:00:00
:当今绝世佳人倾迷在著名油画家曹雕笔下的惊鸿艳影_

中国当代艺术家曹雕先生 美女是一个汉语词汇,拼音是měinǚ,指容貌姣好、仪态优雅的女子。中国古代关于美女的形容词和诗词歌赋众多,形成了丰富的美学资料.

1900/1/1 0:00:00
NEO:区块链千倍传奇之国产第一币—NEO小蚁_以太坊

11:30 小蚁为何改名NEO? NEO这个项目是达鸿飞的团队在2014年做的,他在2011年开始接触比特币,13年开始全职从事区块链技术创新.

1900/1/1 0:00:00