据悉,Ultrain技术团队核心成员近期在阅读EOSchainbase开源代码时,发现其底层实现存在可导致EOS全网宕机隐患的致命安全漏洞,并立即将问题详细描述及修复办法提交至EOS团队。近日,EOS团队已正式将修复提交EOS代码主分支,并对于Ultrain@raymondnuaa表示多次致谢!
公链EOS采用chainbase内存数据库存储世界状态,包括链上所有账号详情、部署的所有智能合约以及所有历史交易形成的状态修改等内容。chainbase的安全性与稳定性是保证公链EOS稳定运行的重中之重。
Multichain:目前CEO仍处于失联状态,将暂停部分网络的跨链服务:6月1日消息,Multichain 官方在社交媒体上发文表示,在过去的两天里,由于不可预见的情况,Multichain 协议出现了多个问题。团队已尽一切可能维护协议运行,但目前无法联系到 CEO Zhaojun 并获得必要的服务器访问权限以进行维护。
今日下午,Router5 的扫描节点网络出现问题,影响了部分链的正常跨链服务。该问题超出团队目前的权限和能力。为保障广大用户的利益,Multichain 决定在 UI 上对受影响的链暂停相应的跨链服务。
同时,Multichain 要求其合作伙伴停止在受影响的链上直接调用 Multichain 协议智能合约进行跨链操作。所有受影响的链包括:Kekchain、PublicMint、Dyno Chain、Red Light Chain、Dexit、Ekta、HPB、ONUS、Omax、Findora、Planq。[2023/6/1 11:51:06]
EOS该安全漏洞由chainbase对数据库回滚操作的错误处理顺序引发。chainbase内存数据库底层有removed、created、modified三个stack来存储区块内交易对数据库对象所进行的删除、创建、修改操作,如果该区块未能成功添加到区块链主链,则需要对该区块内所有交易对内存数据库做的所有修改进行回滚。EOS对三个stack的原有回滚处理顺序为:modified,created,removed,在该处理顺序下,如果将数据库某个已有对象A的键值修改,并创建一个新的对象B采用前述对象A的原有键值,那么在进行回滚时,会先尝试将对象A修改过的数值恢复,此时会产生键值冲突,导致底层库进入死循环状态。一旦进入该状态,EOS节点则无法正常继续生产区块。若恶意攻击者构造触发该状态的交易广播至全网执行,则EOS全网存在宕机隐患。
Delphia完成6000万美元A轮融资,Multicoin Capital领投:金色财经消息,算法股票投资应用平台Delphia完成6000万美元A轮融资,Multicoin Capital领投,Ribbit Capital、FTX Ventures、Valor Equity Partners、FJ Labs、Lattice Ventures和Cumberland等参投,所筹资金将用于扩大员工人数,并推出本地Delphia数据奖励代币。
Delphia是一个由算法支持的股票投资平台,其拥有一个面向合格投资者的对冲基金,该基金采用中性策略,涵盖约 2,500 只美国股票,Delphia会自动根据市场情况积极调整股票头寸。从2022年夏季开始,Delphia将推出Delphia数据Token(ERC-20),以奖励愿意与Delphia共享个人数据的用户。(Coindesk)[2022/6/8 4:11:16]
发现问题后,EOS开发团队按@raymondnuaa建议将stack处理顺序修改为created,modified,removed,可正常处理前述场景。此外,@raymondnuaa在问题描述中还详细描述了另一个更加复杂的两个对象键值交换的场景,并指出仅靠调整三个stack的处理顺序无法解决问题。EOS在此次修改中也增加了大量注释,明确了chainbase内对象的使用需求限制,指出chainbase的特定字段不能在modifier中进行修改,并对deferred_transaction的modify处理做了相应修改。
MakerDAO不会赔偿受3月市场波动影响的Vault:MakerDAO通过社区投票决定,不会对于受3月12日到13日市场波动影响的Vault拥有者做出赔偿。38位MKR持有者参与了投票,这38位用户持有8.8万枚MKR,其中65%的用户反对对Vault拥有者做出赔偿。[2020/9/23]
公链是促进区块链行业繁荣发展的一个重要角色,相信有如Ultrain这样致力于提升基础设施安全的公链存在,整个行业将会更加健康有序发展。
详情链接:
https://github.com/EOSIO/eos/pull/7266
https://github.com/EOSIO/chainbase/pull/44
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。