一行代碼蒸發了 6,447,277,680 人民幣;最受歡迎的Linux發行版出爐
作者:DongBaiNetwork    2018-04-24 16:09:52    來源:程序設計 • 搜狐科技    瀏覽量:563
分享到:

轉自:高金、開源中國、solidot、cnBeta、騰訊科技等


0、一行代碼蒸發了 6,447,277,680 人民幣!


4 月 22 日,OKEx 發布公告,暫停 BEC 交易和提現。


20180424_art01.jpeg


而在此公告之前的一個多小時,一篇名為“一行代碼蒸發了 6,447,277,680 人民幣!”的文章已經在幣圈和鏈圈流傳,文中分析了漏洞產生的原因。


20180424_art02.jpeg


20180424_art03.jpeg


據分析,BEC 智能合約(https://etherscan.io/address/0xc5d105e63711398af9bbff092d4b6769c82f793d)中的 batchTransfer 批量轉賬函數存在漏洞,攻擊者可傳入很大的 value 數值,使 cnt * value 後超過 unit256 的最大值使其溢出導致 amount 變為 0。


你傳幾個地址給我(receivers),然後再傳給我你要給每個人多少代幣(value),發送的總金額 = 發送的人數*發送的金額,所以這會要求你當前的餘額大於發送的總金額。


當其設置的值超過了取值範圍時,就會出現“溢出”漏洞,黑客利用這個漏洞就可無限生成新的代幣。


就一個簡單的溢出漏洞,導致 BEC 代幣的市值接近歸 0。但事實上開發者也考慮到溢出問題了,如下:


20180424_art04.jpeg


除了 amount 的計算外, 其他的給用戶轉錢都用了 safeMath 的方法(sub,add),safeMath 是為了計算安全而寫的一個 library。


那麽,為啥就偏偏這一句沒有用 safeMath 的方法呢。這就隻能問寫代碼的人了。還好,目前 BEC 已暫停交易,但究竟生成了多少代幣,還未公布。


1、外賣平台用戶信息泄露 精確到你吃的什麽、在哪兒吃的


網絡運營公司借助軟件搜集用戶的訂餐信息,打包後倒賣給電話銷售公司。甚至還有一些外賣騎手也做起了客戶信息倒賣的“生意”。記者通過電話找到外賣騎手李德,其表示可以售賣用戶訂餐信息,但價格稍高,一元一條。


20180424_art05.jpeg


目前,餓了麽和美團都已回應表示已第一時間啟動了相關信息的核實排查,對於此類事件,將嚴懲不貸。


2、拋開 androids 不談,誰是最受歡迎的 Linux 發行版


根據 StatCounter 調查報告,androids 是所有操作係統中最受歡迎的。 以 39.49% 比 36.63% 的分數擊敗 Windows,成為全球個人設備之最。


20180424_art06.jpeg


DistroWatch 是最全麵的 Linux 用戶數據收集和新聞發布站點。排名顯示,近 3 月內最受歡迎的 Linux 發行版是 Manjaro。


20180424_art07.jpeg


3、阿裏企業級 UI 設計語言 Ant Design 3.4.3 發布


Ant Design 是阿裏開源的一套企業級的 UI 設計語言和 React 實現,Ant Design 3.4.3 已發布,更新內容如下:


● 修複了 webpack@4 下使用 Tree Shaking 樣式丟失的問題。#10197


● 修複 Menu 組件在 dark 主題下點擊區域的問題。#10187


● ......(詳情:https://github.com/ant-design/ant-design)


4、androidsUtilCode 1.14.0 發布,安卓工具類庫


androidsUtilCode 是一個強大易用的安卓工具類庫,androidsUtilCode 1.14.0 已發布,更新日誌如下:


● 修複多 FileProvider 帶來的問題,發布 1.14.0 版本


● 新增 RSA 加解密,發布 1.13.16 版本


● 新增 LogUtils 設置棧偏移


● 新增 AppUtils#relaunchApp、DeviceUtils#getABIs


● ......(詳情:https://github.com/Blankj/androidsUtilCode/blob/master/update_log.md)


5、Apache BookKeeper 4.7.0 發布,低延遲的存儲係統


Apache BookKeeper 是一個針對實時工作負載優化的可擴展、高容錯和低延遲的存儲服務,Apache BookKeeper 4.7.0 已發布,這是自上個主要版本 4.6.0 發布以來的又一個裏程碑版本,包含數百項 BUG 修複、改進和特性。新版本引入了新的元數據服務 API ,基於 rocksdb 的 ledger 儲存,並在減少 jvm 垃圾收集,減少鎖爭用以及圍繞可操作性等方麵進行了改進和增強。(詳情:http://bookkeeper.apache.org/docs/4.7.0/overview/releaseNotes/)


6、Angular 6.0 即將發布,承諾更小更快更易用


本月早些時候,Angular 團隊發布了 6.0 的第五版候選版本,其中包括一些錯誤修複以及添加令牌標記和支持配置導航網址。6.0 版本的關鍵功能是將所有版本的框架結合起來,這意味著核心路由器,平台瀏覽器,CLI,Angular Material 和其他解決方案的最新版本將一起發布,以便開發人員更好地訪問最新版本的 Angular。除了 6.0 版之外,該團隊正在重寫視圖引擎並增加對 Bazel 的支持。


7、Facebook 開源的大數據查詢引擎 Presto 0.199 發布


Presto 0.199 已發布,該版本包含大量更新內容,包括一些常規修複和改進,以及對 Server RPM、安全性、JDBC 驅動、Hive、Thrift Connector 和 SPI 的相關更改。比如說支持使用 JWT 訪問令牌進行身份驗證,支持左連接,JDBC 驅動與 Java 9+ 完全兼容等等。(詳情:https://prestodb.io/docs/current/release/release-0.199.html)


8、Element React 1.4.16 發布


Element React,是一套為開發者、設計師和產品經理準備的基於 React 的組件庫,是 ElementUI 的 React 版本。Element React 1.4.16 已發布,主要是修複了調整表格寬度時,光標離開表格不恢複默認樣式的 BUG 。(詳情:https://github.com/eleme/element-react/releases)


9、微軟:2017年報告技術支持騙局超15.3萬起 比去年增長24%


近年來技術支持詐騙已經成為竊取用戶個人信息的主要方式,除了傳統的郵件、偽造的網站和各種錯誤警告之外,黑客還會利用各種惡意軟件以及未經請求的電話方式來開展惡意活動。然而外媒 ZDNet 表示,這種情況在未來隻會變得更加糟糕。


20180424_art08.jpeg


在剛剛過去的 2017 年,微軟客戶支付服務收到來自全球 183 個國家,總共超過 15.3 萬起關於技術支持詐騙的案件。Windows Defender 研究項目經理 Erik Wahlstrom 表示,案件數量比 2016 年多了 24%。

免責聲明:

此版塊內容僅用於學習、研究或欣賞。成版人性直播视频观看不保證內容的正確性。通過使用本站內容隨之而來的風險與本站無關訪問者可將本網站提供的內容或服務用於學習、研究或欣賞,以及其他非商業性或非盈利性用途,但同時應遵守著作權法及其他相關法律的規定,不得侵犯本網站及相關權利人的合法權利。