楼主 | 收藏 | 举报 2019-01-16   浏览:88   回复:0

EIP-1283引发的安全问题暂时不会获得实施

EIP-1283引发的安全问题暂时不会获得实施

今天凌晨,以太坊君士坦丁堡升级计划因重大安全漏洞导致升级延期。本次被发现的新漏洞据悉可能导致硬分叉后出现“重入攻击”的风险,对此,北京链安认为,本次EIP-1283引发的安全问题需要问题合约符合如下模型才能被攻击:1、合约中存在函数A,并且存在SSTORE状态改变操作会影响到的transfer/send操作;2、存在一个函数B,可以被外界(攻击者)调用,并且调用可以影响到A中的SSTORE状态改变操作,由于状态的改变可以影响函数A中的transfer/send操作。3、函数B需要在小于阈值gas就可以获得执行。如果影响的是transfer(2300gas),采用call(700gas)执行跨合约调用触发漏洞,那么函数B需要小于的gas执行阈值就是2300-700=1600。

目前来看EIP-1283暂时没有获得实施,没有影响。即使获得升级实施,以太坊市值由大到小排名来看,市值大的合约基本使用的OpenZeppelin模版做的发币类合约,只对外提供转账接口,外部调用者实际上没有如上所述的过高权限,不符合该攻击模型,攻击模型只可能发生在要实现TheDao之类功能的合约上面。


小程序码
打赏
更多> 同类五金交电圈
更多> 最新资讯
陶瓷头条 | 空调头条 | 卫浴头条 | 洁具头条 | 油漆头条 | 涂料头条 | 地板头条 | 吊顶头条 | 衣柜头条 | 家居头条 | 老姚之家 | 灯饰之家 | 电气之家 | 全景头条 | 照明之家 | 防水之家 | 防盗之家 | 区快洞察 | 深圳建材 | 香港建材 | 佛山建材 | 广州建材 | 东莞建材 | 惠州建材 | 南宁建材 | 崇左建材 | 来宾建材 | 河池建材 | 贺州建材 | 百色建材 | 玉林建材 | 贵港建材 | 钦州建材 | 防城港建材 | 北海建材 | 梧州建材 | 桂林建材 | 柳州建材 |
建材 | 720全景 | 企业之家 | 移动社区 | 关于我们  |  联系方式  |  使用协议  |  版权隐私  |  网站地图 | 排名推广 | 广告服务 | RSS订阅 | sitemap | 粤ICP备14017808号
(c)2015-2017 Bybc.cn SYSTEM All Rights Reserved
Powered by 五金之家