[BlockSec:以太坊分叉因Geth旧版本在处理预编译合约调用时未考虑异常值的处理]BlockSec团队发文称,北京时间2021年8月27日20点50分左右(区块高度13107518),以太坊突然出现分叉。BlockSec通过分析Geth的代码版本修改和这笔造成分叉的交易(0x1cb6fb36633d270edefc04d048145b4298e67b8aa82a9e5ec4aa1435dd770ce4)厘清了以太坊分叉的根本原因:Geth旧版本在处理预编译合约调用时,并未考虑特殊情况(corner case)下参数值的处理,从而引发重叠拷贝(overlapping copy),导致返回值异常。该漏洞(CVE-2021-39137)已提交Geth官方,目前尚未披露细节,但攻击者已经利用漏洞实施了攻击。
BlockSec总结称,通过对整个攻击流程的梳理和Geth源代码的分析,BlockSec认为根本原因在于Geth旧版本在处理预编译合约的调用时并未考虑异常值的处理,导致攻击者利用该漏洞实施了重叠拷贝,影响了返回值,最终导致分叉的出现。由于Geth是BSC、HECO、Polygon等公链的基础,因此该漏洞影响范围甚广。目前各公链也先后推出了升级和补丁,BlockSec也呼吁各相关节点尽早升级打上补丁,以确保基础设施的安全。
相关快讯:
Riot Blockchain将再向比特大陆购买2500台S19Pro:纳斯达克上市矿企Riot Blockchain宣布将再从比特大陆以610万美元的价格购买2500台蚂蚁矿机S19Pro,并计划于今年12月开始接收和部署。到目前为止,Riot今年从比特大陆共计购买1.76万台S19Pro矿机和1,040台S19矿机。其购买摘要为4月购买并部署了1,000台S19Pro矿机;5月购买并部署了1,040台S19矿机;6月购买了1,000台S19Pro矿机,已经收到并部署了该订单的一半以上,预计到2020年10月完全交付;8月购买了1.31万台S19Pro矿机,计划于2021年上半年交付。10月购买了2,500台S19Pro矿机,计划于2020年12月交付。Riot预计,从10开始一直到2021年6月期间,公司每个月都会接受部署新矿机。在全面部署后,其总运营哈希率容量将达到2.3EH/s。[10/21/2020 12:00:00 AM]
声音 | Block.one CEO:即将发布革命性的新产品:据MEET.ONE消息,Block.one CEO Brendan Blumer今日发推特表示,将推动解决点对点的交易方案,并已确定协议采用;区块链技术还在探索,但EOS正在从理论跨向落地。在推特下方有用户评论Block.one应向 EOS社区公布其发展路线图,BB回复,我们在公开场所(Github)修改开源代码,像 Apple和其他公司领导一样对待产品发明,当一切就绪后会发布。很快我们就会有很多东西和社区分享,我们非常兴奋即将发布革命性的新产品。[11/29/2018 12:00:00 AM]
动态 | Blockstream推出比特币侧链Liquid Network:据CCN消息,区块链公司Blockstream的首席战略官Samson Mow今天宣布,该公司已经推出了一个比特币侧链——Liquid Network。据悉,Liquid Network是一种建立在比特币网络上的侧链,可促进企业和个人之间更快的比特币交易,同时支持扩展功能。[10/11/2018 12:00:00 AM]
郑重声明: BlockSec:以太坊分叉因Geth旧版本在处理预编译合约调用时未考虑异常值的处理版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。