PeckShield:以太坊CREATE2新功能不是漏洞但有副作用

据Trustnodes报道,以太坊君士坦丁堡升级激活的CREATE2新功能,可能被恶意的开发者利用,窃取人们的资金。PeckShield研究人员进一步分析发现,CREATE2功能于2018年4月由V神提出,用于协同开发确实有其价值。例如在彼此信任的场景下,创建约定好的合约地址,多方能同步开发或操作此智能合约。然而,CREATE2也带来了一个副作用,一旦合约自毁,相较于CREATE带有流水号(nonce)无法创建重复地址,使用CREATE2可以在用户不知情的情况下在同一个地址更新代码。在Code is Law的前提下,君士坦丁堡升级后,包含自毁功能的智能合约都存在安全风险。PeckShield安全人员建议,新创建的智能合约需要排查CREATE2与SELFDESTRUCT同时使用的情况。

转载声明:本文 由CoinON抓取收录,观点仅代表作者本人,不代表CoinON资讯立场,CoinON不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。若以此作为投资依据,请自行承担全部责任。

声明:图文来源于网络,如有侵权请联系删除

风险提示:投资有风险,入市需谨慎。本资讯不作为投资理财建议。

(0)
打赏 微信扫一扫 微信扫一扫
上一篇 2019年2月13日 下午2:42
下一篇 2019年2月13日 下午2:47

相关推荐

PeckShield:以太坊CREATE2新功能不是漏洞但有副作用

星期三 2019-02-13 14:46:16

据Trustnodes报道,以太坊君士坦丁堡升级激活的CREATE2新功能,可能被恶意的开发者利用,窃取人们的资金。PeckShield研究人员进一步分析发现,CREATE2功能于2018年4月由V神提出,用于协同开发确实有其价值。例如在彼此信任的场景下,创建约定好的合约地址,多方能同步开发或操作此智能合约。然而,CREATE2也带来了一个副作用,一旦合约自毁,相较于CREATE带有流水号(nonce)无法创建重复地址,使用CREATE2可以在用户不知情的情况下在同一个地址更新代码。在Code is Law的前提下,君士坦丁堡升级后,包含自毁功能的智能合约都存在安全风险。PeckShield安全人员建议,新创建的智能合约需要排查CREATE2与SELFDESTRUCT同时使用的情况。