[Fairyproof:V神的EIP-4844提案中两个内存池问题需得到解决]3月29日消息,Fairyproof今日发布关于V神提出的EIP-4844提案研究报告,报告称,此EIP在以太坊客户端和汇总解决方案的实施中引入了重大变化,虽然可能不会引入明显的漏洞,但是新引入的blob交易可能会导致两种内存池问题。第一个是blob交易具有可变的内在GAS成本,这会使内存池受到攻击,因为交易可能有资格被包含在一个区块中,但可能没有资格被包含在下一个区块中。为防止此类攻击,该EIP建议仅广播“gas至少为当前最小值的两倍”的交易,以大大增加合法交易被包含在区块中的机会。第二个是blob交易在内存池层具有较大的数据量,这会使内存池暴露于DoS攻击。该EIP建议将“mempool替换的最小增量从1.1倍增加到2倍”以增加攻击者的成本,从而减少其攻击尝试。就安全性而言,开发人员必须在代码中解决这些问题。此外,报告称,用户应该注意,这两项建议是为了应对对内存池的攻击,如果它们被实施,则意味着如果非恶意用户希望交易得到及时处理,需要支付符合这些建议的Gas费用。此前消息,以太坊V神提出新的分片建议:EIP-4844。
其它快讯:
Ethereum Fair(ETF)空投测试合约在以太坊网络完成部署:金色财经消息,据Ethereum Fair官方消息,目前已经完成以太坊网络上的空投合约部署,当分叉完成后此合约将同步至Ethereum Fair网络上,符合条件用户可以进行空投领取的相关操作。[2022/9/5 13:09:46]
灵踪安全(Fairyproof Tech):Iron Bank合约有风险 项目引用须谨慎:灵踪安全团队(Fairyproof Tech)分析发现,造成本次事故的原因是Cream协议新引入的无抵押借贷功能Iron Bank相关合约存在漏洞被黑客利用。
Iron Bank大胆采用了无抵押+白名单方式让用户从资金池借款。这种方式一方面提高了资金利用率和灵活度,但另一方面增加了项目借贷的风险敞口,试图采用部分中心化的方式对冲这类风险。
灵踪安全(Fairyproof Tech)认为由于Iron Bank合约上线时间尚不长,未经过市场检验,因此存在较大风险。因此我们提醒所有引用了Cream项目代码的团队暂时不要上线Iron Bank功能,加强风险控制。我们后续会发布更进一步的细节。[2021/2/13 19:41:17]
动态 | 慢雾发布针对 EOS 交易 hard_fail 状态的新型攻击说明:据 IMEOS 报道,慢雾发文解析了 hard_fail 状态攻击,根据其的情报捕获与分析,慢雾意识到针对 EOS hard_faild 状态的新型攻击手法可能会造成更大范围的影响,本次手法成因为项目方未对交易状态进行严格且完备的检验导致攻击发生,属于“假充值”攻击类型的一种。在此,慢雾安全团队建议交易所和钱包要对发送给自己的转账交易在不可逆的区块前提下检测以下几点:1. 判断 status 是否为 executed2. 判断 action 是否为 transfer3. 判断合约账号是否为 eosio.token 或其它 token 的官方合约4. 判断代币名称及精度5. 判断金额6. 判断 to 是否是自己平台的充币账号补充说明:本次攻击可绕过节点 read-only 模式,开启 read-only 模式仍然会受到攻击。因为交易的状态为:未执行->已经执行但执行失败,并不是回滚所以即使开启了 read-only 模式,依然会受到攻击。[2019/3/12]
郑重声明: Fairyproof:V神的EIP-4844提案中两个内存池问题需得到解决版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。