危及ERC20智能合約、讓代幣價值歸零的溢出漏洞到底是什么？_以太坊:數字貨幣和加密貨幣的區別在哪

7月8日下午，降維安全實驗室監控到，以太坊智能合約AMR存在高危風險交易。團隊對代碼進行分析，發現其中存在的整數溢出漏洞已被人惡意利用，導致AMR大量增發。今年4月份，攻擊者也曾利用該漏洞攻擊美圖合作的美鏈BEC，導致市場上頓時出現海量BEC，貨幣價值幾乎歸零。那么，整數溢出漏洞是什么？可以從我們熟悉的登陸密碼說起。程序怎么判斷用戶輸入密碼的正誤呢？后臺的操作是這樣的，先讓用戶輸入密碼，然后再調取真正的密碼，與之對比，如果差異為0，則輸出密碼正確，否則錯誤。這在用戶輸入正確密碼或錯誤密碼時都很好判斷。但是，由于后臺留給密碼的存儲空間是有限的，如果此時用戶輸入的數據超出4個字節，那么將會出現字符溢出。如果程序事先沒有被設置對溢出進行判斷的話，溢出的字符將使系統報錯或關閉。我們再來看此次整數溢出漏洞的缺陷代碼片段：該片段出現在一個叫“multiTransfer”的函數中，函數的作用是讓一個地址可以同時給多個地址轉賬。問題代碼中的totalTokensToTransfer計算出一共要支出的幣的總量，tokens是最終給每個地址轉賬的金額。由于項目方給totalTokensToTransfer變量賦值時未進行溢出判斷，導致當tokens參數非常大時，totalTokensToTransfer變量進行數次計算后溢出為溢出值，系統即認為本次轉賬總金額為溢出后的值，由此便繞過余額檢查的步驟繼續完成交易，但實際上其轉賬金額遠大于錢包所含金額。于是系統憑空轉出巨額代幣，黑客將其在市場上拋售獲利。今年6月份，安比實驗室對以太坊上部署的合約進行的分析檢測，發現共有866個合約存在相同問題。為什么會存在這些漏洞呢？Bcsec安全團隊表示，這類漏洞本質是由于編程人員的疏忽造成的，之所以在以太坊ERC20中較大規模蔓延，是由于很多新上線的合約直接copy自一些合約模板，而未對其進行嚴格的安全評估，因此新項目如要使用應盡量確保其合約的安全性，才可以代表資產進行交易。我是作者黃雪姣，區塊鏈項目報道/交流可加微信hxjiapg，勞請備注職務和事由。

美國佛羅里達州州長：拜登政府希望取締加密貨幣:金色財經報道，美國佛羅里達州州長 Ron DeSantis 在最近的新聞發布會上表示，拜登政府希望取締加密貨幣，他們不喜歡加密貨幣，因為他們無法控制加密貨幣，所以他們想把所有東西都放在央行數字貨幣（CBDC）中。

DeSantis 可能是明年大選的總統候選人，他此前曾指責拜登總統通過CBDC這項技術進行監視和控制，DeSantis在本周表示，該州禁止央行數字貨幣的立法正在推進。但如果美聯儲或財政部試圖單方面這樣做，在佛羅里達州，我們將禁止這樣做。而且我認為這是確保人們財務獨立并確保我們沒有金融監督國家，在那里他們知道你正在進行的每一筆交易。[2023/5/5 14:43:42]

當前比特幣市值占比為38.44%，以太坊市值占比為17.42%:金色財經報道，據Coingecko數據顯示，當前比特幣市值占比為38.44%，以太坊市值占比為17.42%，USDT、USDC、BUSD三種穩定幣市值占比分別為7.98%、5.37%、2.01%。此外，全網加密貨幣總市值暫報830,114,431,190美元。[2023/1/1 22:19:04]

數據：比特幣活躍地址數在近24小時減少逾12萬個，跌幅達14%:9月20日消息，數據顯示，當前比特幣活躍地址共有774.768個，地址數較24小時前減少了126.574個，跌幅達14.04%。期間，以太坊活躍地址數同步減少17.61%(約12.89萬個)，為8月6日以來最大單日減幅。這或表明市場對BTC、ETH鏈上交易和價值結算的需求有所減少。[2022/9/20 7:07:30]

Tags：以太坊TOTTOKE加密貨幣以太坊價格走勢圖totm幣最新消息LAToken數字貨幣和加密貨幣的區別在哪

SHIB