摘要:由于在年月日凌晨�����,君士坦丁堡版本被曝出安全漏洞因此通道重啟只能延期���,重啟日期需要根據(jù)基金會(huì)對這次安全漏洞對處理結(jié)果待定。君士坦丁堡安全漏洞智能合約中和存在重入攻擊漏洞�。
FOD 與 Ethereum 的前世今生
FOD 是 FIBOS 生態(tài)中的穩(wěn)定幣,與 USDC 1:1 錨定����,其服務(wù)于需要穩(wěn)定價(jià)值衡量的應(yīng)用場景。FOD 通過跨鏈網(wǎng)關(guān)將 ETH 鏈上的 USDC 與 FIBOS 鏈上的 FOD 價(jià)值綁定�。這相當(dāng)于 1:1 鎖定了流通 FOD 同等數(shù)量的 USDC�����,并提供穩(wěn)定即時(shí)的雙向兌換����。
Ethereum 君士坦丁堡升級對 FOD 的影響
本次 Ethereum 君士坦丁堡升級是 Ethereum 由大都會(huì)轉(zhuǎn)向?qū)庫o前的最后一次升級���,升級采取的硬分叉模式�����,為了防止用戶在升級時(shí)轉(zhuǎn)賬出現(xiàn)問題��,我們決定暫時(shí)關(guān)閉 FOD 通道�。由于在 2019 年 01 月 16 日凌晨���,Ethereum 君士坦丁堡版本被曝出安全漏洞因此 FOD 通道重啟只能延期�����,重啟日期需要根據(jù) Ethereum 基金會(huì)對這次安全漏洞對處理結(jié)果待定�����。
Ethereum 君士坦丁堡安全漏洞
智能合約中 address.transfer(...) 和 address.send(...) 存在重入攻擊漏洞����。
漏洞產(chǎn)生的情況
合約中有一個(gè)函數(shù) A,A 中在改變狀態(tài)后調(diào)用了 transfer/send 函數(shù)���。這種情況有的時(shí)候不是很明顯�,比如二次 transfer 或者內(nèi)部調(diào)用另一個(gè)智能合約
必須存在一個(gè)攻擊者可訪問的函數(shù) B�����,其中(a)改變狀態(tài)���,(b)狀態(tài)改變與函數(shù) A 的狀態(tài)改變沖突�����。
函數(shù) B 執(zhí)行消耗需要小于 1600 gas (2300 gas 限制 - 700 gas(為 call 提供的))
為什么此次升級會(huì)產(chǎn)生安全漏洞
在 Ethereum 拜占庭版本每個(gè)存儲操作需要消耗至少 5000 gas,而 transfer/send 操作 gas 消耗要求小于 2300�����,在執(zhí)行上述操作的時(shí)候會(huì)因?yàn)?gas 限制而無法執(zhí)行�。
在 Ethereum 君士坦丁堡版本中���,改良了 EVM 機(jī)制,從而減少了 gas 的消耗��,因此出現(xiàn)了重入攻擊的安全漏洞��。
Parity 客戶端升級方法
在這次安全漏洞之前的 Parity 客戶端包含了 Ethereum 君士坦丁堡版本的升級并會(huì)在區(qū)塊高度達(dá)到 7080000 時(shí)激活����。針對這次的安全漏洞,Parity 官方緊急發(fā)布了新的 Parity 版本���。
Parity 升級方法
升級指令:
bash <(curl https://get.parity.io -L) -r stable
驗(yàn)證是否更新成功
parity -v
得到的結(jié)果查看版本是否是 Parity-Ethereum/v2.2.7-stable
Parity Ethereum
version Parity-Ethereum/v2.2.7-stable-b00a21f39-20190115/x86_64-macos/rustc1.31.1
Copyright 2015-2018 Parity Technologies (UK) Ltd.
文章版權(quán)歸作者所有����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/101081.html
