详细说明以太坊智能合约安全系数漏洞 怎样合理降低 DeFi 进攻?_数据来源
详细说明以太坊智能合约安全系数漏洞 怎样合理降低 DeFi 进攻?
全文题目:《有关区块链技术金融业(DeFi)区块链智能合约漏洞的探寻》
区块链是一种新式的分布式架构管理体系,它应用 P2P 对等通信网络,区块存储,分布式系统优化算法的共识和加密技术来避免伪造。从实质上讲,区块链能够 当作是由全部节点一同维护保养的分布式系统数据库查询。与传统式的分布式系统数据库查询对比,区块链因为具备详细的备份数据,对外开放全透明的互联网,没法伪造,详细的信息内容追朔性和弱信赖实体模型,因而更合适对分散型信赖有明确规定的应用领域。尤其是典型性的区块链应用领域包含数据付款,商品追朔性,版权法,供应链管理会计等。在区块链系统软件中,智能合约在执行分散型运用布署和拓展运用的作用层面充分发挥着至关重要的功效。区块链系统软件与传统式应用软件对比,在区块链系统架构图上运作的智能合约具备开放式和透光性,实行性,不能伪造且不依靠第三方的特性,能够 达到各种各样区块链技术应用领域的要求,包含近些年发展趋势快速的区块链技术金融业(DeFi)新项目。
截止 2021 年 1 月 15 日,区块链技术金融业(DeFi)以超出 45 亿美金的资产变成了取得成功的金融业案例,它运用根据区块链的智能合约来保证 其一致性和安全系数,。区块链技术金融业是一个新的发展趋势行业,用以互换,借出去或使用动态口令。一般,这种命令由智能合约(而不是单独集中化的法定代表人或本人)调整和 / 或由多方面,分散型整治体制(比如 DAO)操纵的「盈利」或收益流。区块链技术金融业(DeFi)—在目前区块链服务平台以上慢慢盛行。这一新的领域的构成部分包含这些与借款,财产买卖和衍生产品销售市场相关的一部分。做为区块链技术的运用,智能合约管理方法着很多的数字货币,进而也使其非常容易遭受各种各样进攻。
文中将从三个层面实际论述了智能合约安全系数难题:最先,因为以太坊系统架构每一层的漏洞造成 的智能合约安全系数。次之,也会讨论 DeFi 和智能合约最近发生的各种各样进攻。最终还将讨论目前的可行性分析专用工具及其来别的的合理实践活动怎样最大限度地降低该类进攻。
在讨论智能合约漏洞以前,大家先简易简述下相关以太坊智能合约构架。
区块链互联网能布署并全自动实行程序编写脚本制作每日任务。这种程序流程称之为智能合约,用以界定在买卖期内调用的自定作用和标准。根据智能合约的区块链技术性已被运用到各种各样领域中,比如金融业,供应链,保健医疗电力能源和政府服务。仅有特殊的区块链服务平台适用智能合约:以太坊是第一个适用智能合约的。别的区块链服务平台(比如 EOS,Lisk,BTC和 Hyperledger Fabric)兼容于布署和实行智能合约。一种称之为 Solidity 的脚本制作种类语言表达用以在以太坊服务平台中开发设计智能合约。在这里一部分中,大家详细介绍了以太坊服务平台上智能合约执行的有关安全性漏洞。智能合约能够 拥有和管理方法相对的作用 Credit (详细地址){很有可能使用价值千余美金的很多数字货币。因而,敌人持续试着控制智能合约的实行以适用其主题活动。实质上,智能合约在分布式系统和无管理权限互联网上运作,该互联网承继了很多漏洞。在传统式的系统软件中,能够 再次开发设计或修复这一小部分的去中心化应用软件。
反过来,在区块链技术的区块链互联网中,除非是采用极端化对策,不然没法在即时互联网中改动或升級已布署的智能合约。智能合约的一成不变特点是其安全性层面的优点也是缺点。因为这类不变,网络黑客没法给自己的权益开展变更或改动合约。可是,布署后开发者也没法改动智能合约应用软件。她们能够 撤销或停止合约并建立新的智能合约,随后再度布署它。因而,出自于安全系数考虑到,在布署智能合约以前,解决智能合约开展大范畴的检测。大家关键详细介绍了以太坊智能合约构架的基础搭建控制模块,如图所示 1 所显示,在其中包含以太坊的构架。
图 1: 用以运作以太坊区块链的自然环境是根据一个 Web 操作界面与以太坊系统架构服务项目的四层开展互动,网络层,用以储存区块链数据信息的数据库查询,用以适用的共识协议书的数据加密体制及其用以传输层的 Internet 服务项目
网络层:以太坊手机客户端在 EVM 中实行智能合约,在其中智能合约与以太坊帐户关联。以太坊适用二种种类的帐户:外界有着帐户(EOA)和合约帐户。 EOA 用以将客户资产储放在 Wei 中,Wei 是 Ether 的最臭小子面值,使用价值 10-18 Ether。 EOA 与公匙关联并由公匙处理;根据表明相对公钥的使用权来认证对 EOA 的浏览。反过来,合约账号与一段可实行的字节码(即智能合约)关联,它界定了一些让人很感兴趣的领域模型。智能合约是 DApp 的基础。 DApp 一般将操作界面做为其前面,并将一些智能合约做为之后端。一些 DApp 会发售自身的称之为动态口令的数字货币,用以原始代币总发售(ICO)和交易中心。根据以太坊的动态口令是一种独特的智能合约(比如 ERC-20)。智能合约在 EVM 中实行,这种 EVM 是应用根据局部变量的系统架构的准图灵详细设备。专业术语「quasi」就是指实行受买卖出示的 gas 限定。在以太坊网络层中,产生各种各样漏洞,造成 很多进攻,如网络层中的图所显示。
数据信息层:包括区块链算法设计。买卖是 EOA (称之为发货人)与另一个 EOA 或合约账号(称之为收货人)中间的互动。买卖由下列方法特定:
nonce,它是用以追踪推送方已进行的买卖数量的电子计数器;
收货人,该收货人特定了买卖的总体目标 EOA 或合约账号;
使用价值,即从发货人向收款方迁移的额度(企业:Wei)(假如可用);
键入,是与买卖目地相对性应的字节码或数据信息;
gasPrice 和 gasLimit,各自特定推送方想要向包括买卖的区块链的获得胜利挖矿付款的价格和较大燃气量;
(v,r,s),它是发布者的椭圆曲线电子签名优化算法(ECDSA)签字。实行展销会升级所涉及到账号的情况,进而升级区块链。
的共识层:保证 区块链的情况一致。在编写文中时,以太坊大概必须 12-14 秒来建立一个区块链,这代表着好几个挖矿能够 另外建立合理的区块链,而且很有可能有很多区块链。以太坊应用 GHOST 的共识协议书的组合来挑选「最大」支系做为碳链,在其中「heaviest」支系是深植于所探讨的分岔的子树,而且具备最大的积累区块链难度系数,另外注意到老旧区块链没有碳链上。但留意,以太坊用利益证实(PoS)取代其当今应用的劳动量证实(PoW)。
传输层:管理方法连接点或手机客户端的以太坊点到点(P2P)互联网,以使连接点自始至终能够 从一些主题活动连接点获得区块链的升级情况。以太坊互联网是一个结构型的 P2P 互联网,在其中每一个连接点(即手机客户端)储存全部区块链的团本。为了更好地开展连接点发觉和路由,每一个连接点维护保养一个动态性默认路由,在其中包括 160 个储存桶,每一个储存桶数最多包括 16 个别的连接点的 ID,IP 详细地址,UDP / TCP 端口号内容。以太坊应用 RLPx 协议书发觉总体目标手机客户端,并应用以太坊有线电视协议书来推动手机客户端中间以太坊区块链信息内容(比如买卖,区块链)的互换。
以太坊区块链自然环境:运作在以下四层的自然环境中:客户与以太坊区块链开展互动的 Web 页面 ; 以太坊顾客的数据库查询,用以储存区块链数据信息 ; 出自于安全性目地的数据加密体制;及其适用以太坊连接点中间的区块链通讯的互联网技术基础设施建设。大家将以太坊区块链构架与自然环境区别起来,由于对于以太坊区块链的进攻很有可能来源于自然环境,而且这种进攻很有可能在自然环境中获得更强的处理,而不是由以太坊处理。
关键详细介绍了以太坊管理体系每一层的智能合约漏洞,如图所示 2 所显示。
图 2:以太坊各层漏洞的归类
再入性:此漏洞最开始是以 DAO 进攻中发觉的 ,当外界被调用方合约再用方合约进行以前(即某种程度上是循环系统调用)在调用方合约中回调函数时,会产生此漏洞。这使网络攻击能够 避开适度的实效性查验,直至调用者合约被耗光以太坊或买卖用完截止。
授权委托通话引入:最先从对 Parity 钱夹的进攻中发觉了此漏洞 。为了更好地促进编码器重,EVM 出示了一个操作码授权委托调用,用以将被调用方合约的字节码插进到调用方合约的字节码中。結果故意的被调用方合约能够 立即改动(或控制)调用方合约的初始条件。此漏洞是因为被调用方合约能够 升级调用方合约的初始条件而造成 的。申明致力于根据授权委托调用做为库共享资源的无状态合约,可彻底防此漏洞。
锁定以太坊:初次从对 Parity 钱夹的进攻中发觉了此漏洞 。该漏洞造成因为客户没法将钱存进其合约账号,而没法从这种账号中开支资产,进而合理锁定了她们的资产。
升級合约:引进合约升級的观念是为了更好地减轻智能合约一旦布署后就没法改动的难题,即便之后发觉他们存有漏洞。为了更好地容许合约升級,有二种方式 :(i)将合约分成代理商合约和逻辑性合约,以使开发者能够 升級后面一种而不是前面一种; (ii)应用申请注册监督机构合约来储存升级后的合约。这种方式 尽管合理,但却引进了一个新的漏洞:当合约开发人员越来越故意时,升级的合约可能是故意的。此漏洞(即,不安全的手机联系人升级)依然是一个未处理的难题。
具备出现意外复原的 DoS:产生这类状况的缘故是,因为主叫方方合约碰到外界呼叫失败而造成 事务管理被复原,或是叫成方合约有意实行复原实际操作以终断主叫方方合约的实行。此漏洞是由实行被调用方合约复原的调用方合约造成的。根据使接受者调用买卖来「获取」发货人为接受者预埋的资产,能够 避免此漏洞,进而合理地避免了发货人的买卖被复原。
整数金额上溢和下溢:初次从对于 BEC 动态口令的进攻中发觉了此漏洞 。当计算的結果超过了 Solidity 基本数据类型的范畴时,便会产生这类状况,比如造成 对网络攻击的账户余额或别的初始条件开展没经受权的控制。该漏洞是由 Solidity 源码未在数据键入上实行恰当的认证造成的,而且 Solidity c语言编译器和 EVM 均未出示整数金额上溢 / 下溢检验。能够 根据应用 SafeMath 库来避免此漏洞解决这种难题。
控制账户余额:当合约的控制流管理决策取决于此值时,会产生此漏洞。均衡或处理(balance)均衡,网络攻击能够 运用它使自身变成唯一能够 获得钱财的人。能够 根据不应用一切标准申明中的合约账户余额来避免此漏洞 。根据 tx.origin 开展身份认证:tx.origin 是 Solidity 中的全局变量,它指的是进行有什么问题买卖的初始 EOA。当合约应用 tx.origin 开展受权的时候会产生此漏洞,这很有可能会遭受互联网中间人攻击的伤害。根据应用 msg.sender 而不是 tx.origin 开展身份认证,能够 避免此漏洞,由于 msg.sender 回到造成 该信息的账号。
不正确的由此可见性:不正确地特定作用的由此可见性,进而容许没经受权的浏览。
无维护的自尽:合约的使用者(或受授权委托的第三方)能够 应用自尽或自弃方式 消毁合约。 撤销合约时,将删掉其关系的字节码和储存。 该漏洞是由合约申请强制执行的身份认证不够造成的。 能够 根据申请强制执行比如多要素身份认证来减轻此漏洞,这代表着自尽实际操作务必获得多方面的准许。
将以太坊泄露到随意详细地址:当随意调用方都能够获取合约的资产时,该漏洞就不容易产生,该调用方既并不是合约的使用者,也不是向合约存进资产的投资人。 此漏洞是由调用者调用将以太坊发送至随意详细地址的作用时没法查验呼叫者的真实身份造成的。 根据对推送资产的作用开展适度的身份认证,能够 避免此漏洞。
安全保密性无效:在区块链中,因为区块链的公共性特性(即买卖关键点是大家都知道的),限定自变量或涵数的由此可见性并不可以保证 自变量或涵数是商业秘密的。 避免此漏洞的一种很有可能解决方法是应用加密算法,比如定时执行服务承诺 。
签字信息内容不够:当电子签名对好几个买卖合理时,便会产生此漏洞,当一个发货人(比如 Alice)根据代理商合约向好几个收货人汇钱(而不是进行好几个买卖)时,很有可能会产生此漏洞。 此漏洞最开始是在对于智能合约的回播进攻中运用的。根据在每条信息中合拼适度的信息内容(比如目前值和时间格式)能够 避免此漏洞。
具备不受到限制的实际操作的 DoS:此漏洞最先从 Govern Mental 合约中观查到 。
没经查验的通话传参:此漏洞也称之为错误处理的出现异常。它有两个组合,称之为 gas-less 推送和 unchecked 推送。当不查验低等启用的传参的时候会发生这类状况,即便调用函数抛出去不正确 ,实行也很有可能会再次。
未复位的储存表针:回望下,在 Solidity 中,合约初始条件自始至终从扩展槽 0 逐渐持续置放在储存中。针对复合型静态变量(比如,struct,array 或 mapping),将引入分派给未占有的阿里云oss中的扩展槽以偏向初始条件。
不正确的构造方法名字:此漏洞最开始是以 Rubixi 合约 中观查到的,该构造方法的名字有误,它使所有人都能够变成合约的使用者。在 Solidity 0.4.22 版以前,申明与合约名字同样的涵数被视作合约构造方法,该涵数仅在建立合约时实行。
类型转换:此漏洞最开始在 中发觉。以 Solidity 语言表达撰写的合约能够 根据直接引用被启用方合约的案例来启用另一个合约。
落伍的c语言编译器版本号:当合约应用落伍的c语言编译器的时候会产生,在其中包括不正确,因而使已编译程序的合约易受攻击。根据应用全新的c语言编译器能够 避免此漏洞。
简洁明了详细地址:此漏洞最开始在 中完成,并开展了普遍探讨。
以太坊遗失给独立详细地址:以太坊丧失到独立产生在汇钱时,以太币仅查验接受者详细地址的长短不超过 160 位,而不查验接受者详细地址的实效性。 假如将钱发送至一个不会有的独立详细地址,则以太币会全自动申请注册该详细地址,而不是停止买卖。 因为该详细地址未与一切 EOA 或合约账号关联,因而没人能够 获取已迁移的资产,这事实上是遗失的。 此漏洞是由 EVM 不可以独立维护造成的。 在编写文中时,只有根据手动式保证 收货人详细地址的准确性来避免此漏洞。
启用局部变量深层限定:此漏洞是由 EVM 的实行实体模型不够造成的,而且已被 EIP-150 的硬分岔所清除,该硬叉彻底改变了外界启用的油耗标准,使其不太可能做到 1,024 in 启用局部变量深层。
小看操作码:最先从2次 DoS 进攻中发觉了此漏洞 。
买卖次序依靠(别名前面运作):它是指高并发性的问题,即区块链技术的即将来临的情况在于买卖的实行次序,但是由矿工决策。
時间相互依赖:当合约在实行重要实际操作(比如汇钱)时将 block.timestamp 作为开启标准的一部分或做为可由故意矿工控制的偶然性来源于时,会产生此漏洞。该漏洞是由以太币造成的,它只规定时间格式超过其母块的时间格式而且在当今数字时钟的 900 秒之内。
造成偶然性:比如,很多钱和福利彩票合约全是任意挑选中奖人,一般的作法是依据一些原始独享種子(比如 block.number,block.timestamp,block。难度系数或 blockhash)转化成伪随机数。可是,这种種子由矿工良好控制,这代表着故意矿工能够 控制这种自变量使自身变成大赢家。此漏洞是由可操纵的 entropy 源造成的。
数据信息层漏洞
无法辨别的链:当以太币分成 ETH 和 ETC 两根链 时,最先从跨链中间人攻击中观查到此漏洞。回忆一下,以太币应用 ECDSA 签定买卖。在开展 EIP-155 硬分岔以前,每单买卖都包括六个字段(即,随机数字,收货人,值,键入,gasPrice 和 gasLimit)。可是,电子签名并不是特殊于链的,由于那时候乃至还不知道特殊于链的信息内容。結果,为一个链建立的事务管理可被另一链器重。根据将 chainID 合拼到字段名中,已清除了此漏洞。
State Trie 中的「空账号」:此漏洞最先从论文参考文献 中汇报的 DoS 进攻中发觉的。
可业务外包的难点:回忆以太币选用了名叫 Ethash 的 PoW 难点,该难点致力于抵挡 ASIC,并可以限定并行处理的应用(因为实际上,矿工的绝大多数工作中将是获取数据集。 根据比较有限的内存带宽)。 可是,奸诈的矿工依然能够 将检索难点解决方法的每日任务区划为好几个较小的每日任务,随后将其业务外包。 该漏洞是由 Ethash 导致的,它仅使拼图图片解决方法在原图像搜索中一部分次序,而不是依靠次序 PoW。
几率最后性:此漏洞是由以太币区块链技术钟爱易用性并非一致性的设计方案造成的,它是依据 CAP 定律 挑选的。
含有块添充的 DoS:初次从 Fomo三维 合约中观查到此漏洞 。该漏洞仅造成 攻击者的买卖包括在新采掘的区块链中,而别的买卖则被矿工舍弃一段时间。当攻击者出示高些的 gasPrice 以鼓励矿工挑选攻击者的买卖时,很有可能会产生这类状况。此漏洞是由贪欲的开采激励制度造成的。在编写文中时,未有解决方法来避免此漏洞。
诚信的开采构想:此漏洞是由的共识协议书造成的,因为它与鼓励兼容问题,请参照 。在编写文中时,此漏洞依然是一个未处理的难题。
出块奖赏:它是强调块奖励制度,用以解决因为迅速转化成块而造成 的老旧区块链提升。可是,这类体制有一个不良反应,即容许自私自利的矿工将老旧的区块链变为出块并得到 奖赏,进而合理地鼓励了自私自利的开采和双向开支。
认证者的窘境:此漏洞最开始在论文参考文献 中报导,指的是当认证新买卖必须不费吹灰之力的测算时,不管矿工是不是挑选认证买卖,都将遭受进攻。假如矿工认证了测算量大的买卖,那麼她们将花销很多時间,并在下一个区块链的市场竞争中为攻击者出示优点;假如矿工没经认证接纳买卖,则区块链技术很有可能包括有误的买卖。此漏洞是由以太币中认证資源要求买卖的昂贵成本费造成的。能够 根据限定认证块中全部公司需的测算量来减轻此漏洞 。可是,尚不清楚怎么消除此漏洞。
无尽节点的建立:此漏洞是对于 Geth 手机客户端 1.8 以前的版本号。在以太币互联网中,每一个节点都由唯一的 ID 标志,该 ID 是 64 字节数的 ECDSA 公匙。攻击者能够 在一台电子计算机上建立无尽总数的节点(即具备同样的 IP 详细地址),随后应用这种节点垄断性一些受害人节点的传到和传来联接,进而合理地将受害人与互联网中的别的对等节点防护起来。此漏洞是由对节点转化成全过程的弱限定造成的。根据应用 IP 详细地址和公匙的组成做为节点 ID,能够 清除此漏洞。菲德(Geth)开发者并未选用这类防范措施,她们觉得这对手机客户端的易用性有不良影响。
不受到限制的传到联接:此漏洞在版本号 1.8 以前的 Geth 手机客户端中。 每一个节点在一切时间点能够 具备数量为 maxpeers 的联接(初始值为 25),而且能够 与别的节点进行高达 1 (1 maxpeers)/2⌋个出站 TCP 联接。 可是,别的节点运行的传到 TCP 联接的总数沒有限制。 根据为 maxpeers 创建与沒有出站联接的被害节点的很多传到联接,攻击者还有机会使受害人讳莫如深。 在 Geth v1.8 中,根据对到节点的传到 TCP 联接的总数执行限制,初始值为⌊maxpeers/3⌋= 8,清除了此漏洞。
公共性对等体挑选:在 Geth 手机客户端 1.8 以前的版本号中检验到此漏洞 。
对等体挑选:该漏洞指的是 Geth 手机客户端在从其默认路由中挑选节点以创建出站联接时,一直获得任意挑选的桶的头顶部。因为每一个储存桶中的节点全是按主题活动排列的,因而攻击者能够 根据按时向 Geth 手机客户端推送信息来使其节点自始至终坐落于别的节点以前。根据在默认路由中全部节点的结合中任意挑选统一的节点,而不是仅从每一个储存桶的头里任意挑选节点,在 Geth v1.9 中已清除了此漏洞。
单独块同歩:它容许攻击者对以太币 P2P 互联网开展系统分区,而不容易垄断性受害人手机客户端的联接。回忆一下,每一个块题目都包括一个难度系数字段名,该字段名纪录了该块的发掘难度系数。区块链技术的总难度系数用 totalDifficulty 表明,是直至当今区块链的难度系数之和。
RPC API 曝露:此漏洞最开始是根据对 Geth 和 Parity 手机客户端的进攻发觉的 。
引入:
https://www.coindesk.com/understanding-dao-hack-journalists
https://www.freecodecamp.org/news/a-hacker-stole-31m-of-ether-how-it-happened-and-what-it-means-for-ethereum-9e5dc29e33ce/
https://medium.com/blockcat/on-the-parity-multi-sig-wallet-attack-83fb5e7f4b8c
https://nvd.nist.gov/vuln/detail/CVE-2018-10299
https://medium.com/loom-network/how-to-secure-your-smart-contracts-6-solidity-vulnerabilities-and-how-to-avoid-them-part-2-730db0aa4834
https://eprint.iacr.org/2016/1007.pdf
https://www.reddit.com/r/ethereum/comments/4ghzhv/governmentals_1100_eth_jackpot_payout_is_stuck/
https://github.com/KadenZipfel/smart-contract-attack-vectors/blob/master/vulnerabilities/unchecked-call-return-value.md
https://medium.com/hackernoon/hackpedia-16-solidity-hacks-vulnerabilities-their-fixes-and-real-world-examples-f3210eba5148
https://medium.com/golem-project/how-to-find-十米-by-just-reading-blockchain-6ae9d39fcd95
https://medium.com/loom-network/how-to-secure-your-smart-contracts-6-solidity-vulnerabilities-and-how-to-avoid-them-part-2-730db0aa4834
https://blog.ethereum.org/2016/09/22/transaction-spam-attack-next-steps/
https://blog.comae.io/the-280M-ethereums-bug-f28e5de43513?gi=3b0603be9186
https://dl.acm.org/doi/10.1145/3149.214121
https://medium.com/coinmonks/how-the-winner-got-fomo3d-prize-a-detailed-explanation-b30a69b7813f
https://dl.acm.org/doi/10.1145/3212998
https://dl.acm.org/doi/10.1145/2810103.2813659
https://ljk.imag.fr/membres/Jean-Guillaume.Dumas/Enseignements/ProjetsCrypto/Ethereum/236.pdf
https://mp.weixin.qq.com/s/ia9nBhmqVEXiiQdFrjzmyg
https://dl.acm.org/doi/fullHtml/10.1145/3391195
发文:Abba Garba,WeBlock CTO汉语翻译:HAO
全文题目:《关于去中心化金融(DeFi)区块链智能合约漏洞的探索》
图 1: 用以运作以太坊区块链技术的自然环境是根据一个 Web 操作界面与以太坊系统架构服务项目的四层开展互动,网络层,用以储存区块链技术数据信息的数据库查询,用以适用的共识协议书的数据加密体制及其用以传输层的 Internet 服务项目
图 2:以太坊各层系统漏洞的归类
引入:
https://www.coindesk.com/understanding-dao-hack-journalists
https://www.freecodecamp.org/news/a-hacker-stole-31m-of-ether-how-it-happened-and-what-it-means-for-ethereum-9e5dc29e33ce/
https://medium.com/blockcat/on-the-parity-multi-sig-wallet-attack-83fb5e7f4b8c
https://nvd.nist.gov/vuln/detail/CVE-2018-10299
https://medium.com/loom-network/how-to-secure-your-smart-contracts-6-solidity-vulnerabilities-and-how-to-avoid-them-part-2-730db0aa4834
https://eprint.iacr.org/2016/1007.pdf
https://www.reddit.com/r/ethereum/comments/4ghzhv/governmentals_1100_eth_jackpot_payout_is_stuck/
https://github.com/KadenZipfel/smart-contract-attack-vectors/blob/master/vulnerabilities/unchecked-call-return-value.md
https://medium.com/hackernoon/hackpedia-16-solidity-hacks-vulnerabilities-their-fixes-and-real-world-examples-f3210eba5148
https://medium.com/golem-project/how-to-find-十米-by-just-reading-blockchain-6ae9d39fcd95
https://medium.com/loom-network/how-to-secure-your-smart-contracts-6-solidity-vulnerabilities-and-how-to-avoid-them-part-2-730db0aa4834
https://blog.ethereum.org/2016/09/22/transaction-spam-attack-next-steps/
https://blog.comae.io/the-280M-ethereums-bug-f28e5de43513?gi=3b0603be9186
https://dl.acm.org/doi/10.1145/3149.214121
https://medium.com/coinmonks/how-the-winner-got-fomo3d-prize-a-detailed-explanation-b30a69b7813f
https://dl.acm.org/doi/10.1145/3212998
https://dl.acm.org/doi/10.1145/2810103.2813659
https://ljk.imag.fr/membres/Jean-Guillaume.Dumas/Enseignements/ProjetsCrypto/Ethereum/236.pdf
https://mp.weixin.qq.com/s/ia9nBhmqVEXiiQdFrjzmyg
https://dl.acm.org/doi/fullHtml/10.1145/3391195
发文:Abba Garba,WeBlock CTO汉语翻译:HAO
投资分析师:小总市值山寨币的涨幅将超过ETH:ETH近日创历史时间新纪录,做到1440美金。投资分析师表明,ETH的使用价值被比较严重小看,预估价钱将进一步上涨。
数字货币外汇交易员和投资分析师Rekt Capital则表明,小总市值山寨币的涨幅将比以太坊过去任何时刻都需要强悍。他表明,此次反跳可能非常大,以填补他们长期以来在沒有拉盘的状况下主要表现落伍的局势。(Newslogical)[2021/1/21 16:41:13]
调研:数字货币投资者占日本总投资者的16.2%:近日信息,日本金融信息服务大佬Monex Group(Coincheck总公司)公布了《全世界股民投资者调研》,调研数据显示,有活跃性数字货币项目投资个人行为的投资者占日本总投资者的16.2%,在国外为21.0%。它是2017年6月至今的最大水准。(FinanceMagnates)[2020/12/16 15:23:34]
李书沸加盟代理黑洞投资,并担任黑洞投资首席总裁一职:近日,原火币网集团公司CFO、董事会秘书及国际金融高级副总裁Chris Lee 李书沸已经辞职,宣布以合作伙伴真实身份加盟代理黑洞投资,并担任黑洞投资首席总裁一职。(亿欧网)[2020/9/
标签:
区块链热门资讯
金黄观查 | 你应该掌握的一些代币总估值指标 下面将详细介绍一些考量DeFi协议代币总使用价值的指标。 以前提及,DeFi已经超过传统式金融业。我们要重学,将旧方式 开展资产重组和运用,来融入这一新行业。 因而,文中将详细介绍一些现阶段通用性和对于不一样行业的估值指标,及其在科学研究新协议时必须考虑到的好多个关键比例。
2021/3/8 12:50:26欧拉协议书挥剑Compound、AAVE 野望万亿元数据加密财产市场 文章正文 今天早上刷微信朋友圈,被一个老哥撸空投物资的考试成绩震惊。 好多个月前,这名老哥轻易填了InverseDAO授权管理,新项目奖赏了80个INV。
2021/3/8 12:22:43三分钟掌握DeFi黑马:智能投顾服务平台DAOventures 区块链技术金融业(DeFi)过去好多个月中快速兴起,DeFi总市值现阶段约为500亿美金,五花八门的产品协议书确实变成近些年区块链技术性诸多自主创新之一,用户不用信赖就可以借款、买卖和投资加密财产。
2021/3/8 12:16:35一文了解比特币相关概念股的疯涨_区块链技术_ 3月2日信息,依据bitcointreasuries的数据信息,现阶段有42家公司拥有135万枚比特币,占2100万比特币供给量的6.43%,使用价值约为650亿美金。较大的持有人是灰度,有着649130个比特币,占2100万只供货限制的3.09%。
2021/3/8 11:15:44看一下全国两会上有关“数字人民币”的提案 2021年两会已经开展,各种各样的提案被顶部热搜榜,而有关数字人民币各人民代表们都是有一些哪些建议呢? 推动数字人民币跨境支付平台运用 全国人民代表大会委员会、东亚银行联席会行政总裁李民斌日前表明,2020年公布在粤港澳大湾区进行“跨境电商理财通”业务流程试点后,2020年2月。
2021/3/8 11:03:47先发 | PAID Network攻击事情复原 文中由Certik原創,受权金色财经先发。 2021年3月5日,PAID Network遭到了因为私钥管理方法不当而造成的 "铸币 "攻击。 攻击者应用代理合约私钥,将原来历经CertiK财务审计的PAID合约编码调包,加上了消毁(burn)和铸币(mint)的作用涵数。
2021/3/8 10:20:33