EOSRescuer:救援高风险的EOS帐户

作为有史以来最大的ICO,EOS被吹捧为下一代区块链系统最具竞争力的候选者,自然引起了全世界的广泛关注。 在有关EOS的所有热议中,EOS的安全性是最有争议的主题之一。 在此博客中,PeckShield研究人员仔细研究了EOS的关键组成部分,即EOS帐户。 尤其是,我们有兴趣了解现有工具如何生成EOS帐户[3]。 我们惊讶地发现某些EOS帐户很容易受到破坏,并且相应的数字资产严重面临被盗的风险。 为简单起见,我们将这些受影响的帐户称为高风险EOS帐户。 为了减轻该问题并保护高风险的EOS用户,PeckShield现在正在启动名为EOSRescuer [2]的公共服务。 在下文中,我们将详细研究此特定安全问题,并披露EOSRescuer涵盖的易受攻击的帐户列表。 问题描述 风险的实质是由于不当使用了第三方EOS密钥对生成工具,包括但不限于EOSTEA [3]。 借助用户提供的种子,这些工具极大地方便了用户生成其EOS密钥对。 不幸的是,如果选择了一个简单的种子(由用户)并允许了(由工具),则生成的密钥可能会通过发起彩虹表攻击(或字典攻击)而被暴露和利用[4]。 我们的方法 为了营救易受Rainbow攻击的高风险EOS帐户,我们选择首先创建一个安全的EOS帐户,然后通过选择将EOS余额从易受攻击的帐户转移到此安全帐户来进行临时安排。 接下来,我们将以透明且可验证的方式将转移的EOS余额返还给原始用户(在验证其真实帐户所有权之后)。 同时,鼓励每个EOS持有者通过查询EOSRescuer…

第3部分。审查区块链应用程序的主要经济技术威胁

BugBounty.Center提请您注意报告“区块链应用的主要经济技术威胁”的最后部分。 由公司Grigory Vasilkov的联合创始人开发。 7.资产价值变化的模糊性 简介 :加密货币市场一直在不断变化,很难预测,甚至更难以揭示其规律性,这种货币或该货币的长期汇率将是多少。 但是有可能发生的是,已开发应用程序的逻辑显然取决于加密货币或令牌的比率,并且开发人员需要以应考虑到比率的可能波动的方式构建应用程序模型。 例7.1 :让我们分析以下智能合约工作模型。 假设有一家商业公司提供货物运输保险服务。 由于以太坊汇率的剧烈波动以及与承包商合作的需要,该公司决定对收到的以太币进行对冲。 因此,交易参与者事先了解到以太币的确切价格,就可以从加密货币市场上汇率的可能波动以及因此保险服务的市场价格变化中确保自己的风险。 如果货物在运输过程中发生问题,保险公司承诺赔偿以太币造成的损失,但要参考先前的套期保值率。 如果在支付保险期间以太坊的成本增加,那么在这种情况下,即使在支付保险后,保险公司也会获得额外的利润。 如果以太坊的成本下降,那么该公司将蒙受巨大损失,直至宣布破产。 解决方案 :充其量,您需要跟踪资产价值的变化并对智能合约进行适当的更改。 如果智能合约在很长一段时间内是自主的,则这种情况并非总是可能的,因此需要采用不同的方法来解决该问题。…

由于Parity Wallet中的严重漏洞,价值逾150亿美元的以太币被意外冻结

多重签名以太坊钱包Parity宣布,一个严重漏洞导致584个多重签名钱包中的资金被冻结。 由于该漏洞,有573位客户受到了影响。 由于2017年11月6日“意外”触发的漏洞,奇偶校验尚未正式确认冻结的以太币的价值。 更新 :我们非常遗憾,昨天的事件在我们的用户和整个社区中引起了很大的压力和混乱,尤其是围绕该问题的所有猜测。 我们将继续调查情况,并正在探索所有可能的影响和解决方案。 区块链和相关技术是计算机科学的前沿领域。 我们的任务仍然是构建为分散式网络提供动力的软件。 在7月19日利用原始多签名漏洞修复后(功能可见性),7月20日部署了新版本的Parity Wallet库合同。 不幸的是,该代码包含另一个当时未发现的漏洞-可以通过调用initWallet函数将Parity Wallet库合同转换为常规的多签名钱包,并成为其所有者。 我们目前的了解是,此漏洞是在2017年11月6日02:33:47 PM + UTC意外触发的,随后用户删除了将库转为钱包的内容,并清除了库代码,从而转而显示了所有多重签名。合同无效,资金冻结,因为它们的逻辑(任何状态修改功能)都在库中。 这意味着当前没有资金可以从多重签名的钱包中移出。 如果您使用Parity钱包,则可以在此处检查您的钱包是否受到影响。…