安全公司 Dedaub 發現 Solidity 編譯器存在漏洞，多數已部署合約中的死代碼極大增加 Gas 費成本

2月11日消息，安全公司 Dedaub 團隊發現以太坊編程語言 Solidity 編譯器存在漏洞，導致已部署的合約字節碼中包括死代碼（dead code），致使部署和操作智能合約時極大地增加了 Gas 費成本。Dedaub 表示，團隊在評估開源二進制分流器 Gigahorse 時發現了這個錯誤。當庫方法只被合約的構造器調用時，該漏洞就會出現。

通過 Gigahorse 分析，Dedaub 發現至少 35% 合約上存在一些死代碼，其中 33% 占據其運行的大部分字節碼。這些結果以 NFT 代理為主導，但其他代理合約也有同樣問題。對于大型合約，該問題可以被忽略，但大多數已部署的合約都是小型合約。Dedain 團隊在去年 11 月就已經發現了這個錯誤，并提醒 Solidity 團隊確認該問題。

安全公司：BiSwap LP遷移池攻擊事件已造成約71萬美元的損失:7月1日消息，根據安全公司Fairyproof發布的BiSwap LP遷移池攻擊事件簡析，BISwap的遷移合約少了兩個驗證：1.未驗證遷移者就是交易發起者，導致任意?都可以替別?進?遷移。2.未驗證參數中的兩種代幣和Pair為真實的，導致攻擊者可以偽造token0、token1及Pair的?式進?攻擊。攻擊者?先通過真實的pair和假的token0,token1，調?遷移合約的遷移函數，將?戶的LP燃燒后的資產留在合約中,?戶添加的只是兩種假代幣組成LP池。然后攻擊者再通過真實的token0,token1及假的LP，調?遷移合約的遷移函數，將第?步留在合約中的資產添加為自己的LP。這樣通過貍貓換太?的方式將?戶的資產替換成假的LP資產，?真實的LP資產添加到了攻擊的的LP中。Fairyproof還表示，此次攻擊造成約710251美元的損失。

此前今日早些時候消息，BiSwap表示，已檢測并解決Migrator合約漏洞，請勿與訪問該合約，用戶資金安全。[2023/7/2 22:12:51]

動態 | 安全公司LAC發布關于加密盜竊黑客團體“HYDSEVEN”的研究報告:信息安全公司LAC于6月19日起草了一份關于試圖竊取加密貨幣的新黑客集團報告書。報告書提到，被稱為“HYDSEVEN”的黑客團體自2016年開始持續在包括日本、波蘭在內的國家開展了網絡攻擊。報告書稱，據推測該團體使用俄羅斯系語言進行活動。“HYDSEVEN”是由LAC命名，因為在該團體發動攻擊的過程中，多次使用了“HYD”和“SEVEN”兩個詞語。 HYDSEVEN的攻擊大多是向特定組織和個人發送電子郵件并竊取個人信息，其還假裝大學研究機構的研究人員發起攻擊。 LAC表示，目前還未掌握因HYDSEVEN而造成的虛擬貨幣損失情況。[2019/6/22]

金色獨家|CertiK聯合創始人:只爆漏洞不是安全公司核心價值 既要盈利也要踐行社會責任:金色財經現場報道，在6月27日在圣何塞會議中心舉行的Blockchain Connect會議上，CertiK聯合創始人顧榮輝接受金色財經專訪中談到區塊鏈安全問題，他說：安全公司應該考慮既能保持盈利，也能履行社會責任。當前區塊鏈安全問題不僅來自合約層，在公鏈、交易所也普遍存在。僅僅爆出漏洞不能真正解決不安全的現狀，而更多的是為了給安全公司帶來名氣。安全公司應該幫助公鏈、交易所、智能合約層把BUG排除掉，用技術驗證的形式，證明代碼真正處于安全狀態，以此增加區塊鏈項目價值，踐行安全公司的社會責任。顧榮輝進一步解釋了CertiK研發的“形式化驗證”技術：取代傳統測試、代碼審計的方法，用數學的方法證明代碼模型與設計模型相匹配，從而確保區塊鏈安全。[2018/6/28]