FX168财经网_全球视野外汇黄金加密货币NFT资讯网

一定要收藏的10大BNB链安全开发实用tips

该使用可获取链上中心化和去中心化交易所成交量加权平均价格（VWAP）或时间加权平均价格（TWAP）的去中心化预言机网络。这样一来，数据将从多个数据源和广泛的时间内进行收集，从而使代码更不容易受到攻击和操纵的影响。对于开发者来说，能够删除智能合约中任何操纵预言机的攻击载体以防止潜在漏洞十分重要。 01╱ 定义 ╱ 正确设置函数的可见性可确保智能合约的安全性和完整性。使用不正确的函数可见性设置会允许非预期用户操纵合约状态，从而导致资金被盗或合约功能被控制等严重问题。通过将函数的可见性设置为私有或内部，可确保开发者对某些函数的访问有一定限制，仅有授权方才可以调用这些函数。私有函数只能从合约本身调用，而内部函数也可以从沿用当前合约中调用。这允许开发者在保持控制访问功能权限的同时可创建具有更强大功能且更复杂的合约。 02╱ 案例解析 ╱ 函数setAdmin()允许任何人将任何地址设置为合约管理员。根据合约内授予管理地址的权限，这有可能导致开发者失去对合约本身的控制甚至资金造成损失。通过将函数的可见性设置为internal内部，某些合约函数在内部就可能允许将某些用户设置为管理员。 03╱ 改进方法 ╱ 访问modifier是一个重要的安全功能，它可以规定谁可以访问合约中的特定功能或变量。这些modifier可被用来限制某些函数或变量对特定角色或地址的可见性，并防止恶意行为者未经授权进行访问或操纵合约状态。例如，某合约可能有一个只有合约所有者才可以调用的函数，或者有一个只能由一组特定地址访问的变量。通过将可见性modifier改成external，并将访问modifier设置为onlyOwner，可将对setAdmin函数的访问限制在合约所有者的地址当中。这将防止恶意的外部方控制某些特权功能。正确使用可见性和限制性modifier可以令合约管理变得更加容易，也可以减少常见的如重入式攻击（攻击者反复调用一个函数来操纵合约状态）或前置运行攻击（攻击者监控未决交易并在合法交易执行前操纵合约状态）而带来的问题。通过适当地使用这些功能，开发人员可以增强他们的合约安全性和可靠性，减少未经授权访问的风险，并提高他们代码整体质量和可维护性。 01╱ 定义 ╱ 在决定未来是否要对合约升级性时，初始时就要仔细考虑合约的设计。合约可升级性是指在智能合约被部署到区块链上后，具有可被修改或更新其逻辑的性质。虽然可升级性可以提供许多优势（如修复错误，提高效率或增加新的功能等），但它同时也引入了一些风险。合约升级可能导致引入新的漏洞、增加合约复杂性，或造成意外的后果。因为代理管理员可以在没有得到社区共识的情况下升级合约，因此合约可升级性也引发了信任问题。开发者需要仔细权衡可升级性的优势和劣势，并确定自己的项目是否真正有必要引入可升级合约。在某些情况下，设计一个从一开始就打定主意不可改变的合约而不是依赖以后的修改能力，会更加安全。 02╱ 改进方法 ╱ 当涉及到合约的可升级性时，有几个重要的做法需要遵循。首先，最重要的是不要修改proxy library。Proxy合约库极具复杂性，特别是在存储管理和升级机制方面。即使是小错误也会大大影响Proxy和逻辑合约的运行。事实上，在审计过程中发现的许多与proxy相关的严重性错误都是由不恰当修改proxy库造成的。合约可升级性的另一个关键做法是在基本合约中包含一个存储“间隙”。逻辑合约则必须在合约代码中包含一个存储间隙，以考虑到在部署新的逻辑实现时可能引入的新变量。在添加新的状态变量后，更新“间隙”的大小就变得更加重要了。这种做法可以确保未来的升级能够顺利进行，不会出现问题。最后，必须避免使用selfdestruct()或对不受信任的合约执行delegatecall()/ call()。攻击者可以利用这些函数来破坏逻辑实现或执行自定义逻辑。为了防止这种情况，验证用户的输入很重要！不要允许合约对不受信的合约执行delegatecall()/ call()。此外，不建议在逻辑合约中使用delegatecall()，因为在多个合约中管理存储布局会很困难。通过遵循这些做法，开发者可以在他们的合约升级中最大限度地减少漏洞及风险。 01╱ 定义 ╱ 抢先交易（Front-Running），一直是一个顽固且不容易解决的问题，用户能够利用提交交易和区块链上确认交易之间的延迟来获利。这种延迟是由mempool造成的。 mempool是一个临时存储区，用于存储已广播到网络的未确认交易。网络中的所有节点都保持着一个mempool，允许任何人看到待定交易，并有可能拦截从而从中获利。mempool还为矿工提供了一个重新安排交易的机会，以使他们的利润最大化，创造所谓的矿工（或最大）可提取价值（MEV）。 02╱ 案例解析 ╱ 下面是一个容易出现抢先交易的拍卖出价功能的例子。这个功能允许用户在拍卖中出价，但它可能会受到抢先交易攻击。假设一个恶意用户监控区块链时，看到另一个用户已经提交了一个高价，于是这个恶意用户可以迅速提交一个更高的出价并被优先处理，最终赢得拍卖。在以下版本中，用户提交不为人知的出价价格，而这些出价被存储在一个mapping中。出价金额在竞价期结束前都是加密的。 03╱ 改进方法 ╱ 在竞价期结束时，用户可以通过提交原始竞价金额和一个秘密值来揭示他们的竞价。合约验证出价金额和保密的哈希值与存储的秘密出价相符，确保出价是在竞价期结束前提交的。如果该出价高于当前的最高出价，它就成为新的最高出价。通过在竞价期结束前掩盖出价金额，该功能可以缓释抢先交易攻击。抢先交易和MEV已经成为区块链社区的主要关注点，各种解决方案，如交易和公平排序服务（FSS），已经被提出来解决这些问题。交易可以通过对其他用户隐藏交易细节，直到交易在区块链上执行，来帮助预防抢先交易。另一方面，FSS可以通过安全的链下交易排序来减少抢先交易和MEV的影响。制定一个明确而全面的响应计划对于处理紧急安全事件至关重要。该计划应定期审查、更新，并测试其有效性。在发生紧急安全事件时，时间是最重要的。因此该计划应提前定制并包括识别、控制和缓释等细节操作步骤。该计划应有效到位，让所有利益相关方了解情况。同时，定期备份数据对于防止数据丢失也很重要。计划中需概述将数据和系统恢复至从前状态的恢复过程。团队成员应接受针对该计划的系统培训，以确保每个人都了解自己的角色和责任。一个精心准备的响应计划或许不能亡羊补牢，但却可以将事件的影响降到最低，并保持与用户和利益相关者的信任度。常规的代码审计对于维护应用程序的安全至关重要。与专门从事智能合约安全的专业审计师合作是开发过程中的一个重要步骤。审计人员将检查代码中的漏洞，并为提高整体安全性提供建议。优先考虑和解决已发现的问题，并与审计人员保持开放的沟通，对于提高安全性至关重要。除此之外，与审计人员的沟通也很关键。审计人员可以详细解释他们发现的问题及漏洞，并就如何解决该漏洞提供指导和实用性帮助。通过与专业审计机构/人员的合作，安全将“更上一层楼”。对BNB链的开发者来说，进行常规审计是任何一个全面的安全策略都不可或缺的组成部分。主动识别和解决代码中的漏洞可以将安全漏洞的风险降到最低。使用赏金计划是激励社群白帽黑客报告项目代码中安全漏洞的一个有效方法。通过提供如代币或其他奖励等激励，任何项目都可以鼓励有经验的人检查代码并报告他们发现的任何潜在问题。制定一个明确、透明的漏洞赏金计划十分重要。其中计划需要包含：发现哪些类型的漏洞有资格获得奖励，如何评估这些漏洞的价值等。同时，在漏洞赏金计划中加入有公信力的第三方可以帮助确保该计划的顺利运行和奖励的公平分配。同时，拥有一个多样化的“赏金猎人小组”也很重要。不同的白帽黑客有着不同的擅长领域，可以专注于发现其他人可能错过的问题。最后，一旦报告了漏洞，就必须迅速有效地采取行动来解决这些漏洞。赏金计划可以成为识别漏洞的有效工具，但必须由开发团队来实际修复问题才有意义。对Web3用户进行安全性教育，是建立一个安全生态系统的关键步骤。保证客户的安全，就有助于保证平台的安全。用户应该接受教育，了解保护他们账户和敏感信息的最佳做法。其中最重要的环节则是学会如何避免网络钓鱼诈骗。网络钓鱼诈骗犯，会通过冒充合法网站或服务来欺骗用户，使用户泄露私钥或密码。CertiK建议用户在收到任何信息时，始终要仔细检查任何邮件、来源等正在使用的网站URL，并且永远不要在不信任的网站上输入私人密钥或密码。而另一个重要部分则是拥有安全且强大的密码。CertiK在此建议用户为每个账户使用独特和复杂的密码，并避免在不同的服务中重复使用密码。同时，还应使用密码管理器或其他安全存储机制来安全地存储密码。最后，保护私钥极为重要。私钥相当于用户的密码，应该在任何时候都保证不被其他人接触到。用户应避免与任何人分享他们的私钥，并将其存放在一个安全的地方。总结在BNB Chain上构建智能合约和dApps的开发者必须采取全面的安全方法来保证其用户资金和资产的安全。更重要的是，在处理安全漏洞时要主动出击，而不是被动应付；在漏洞发生时甚至之前就要制定计划，并对所有相关用户和利益相关者进行适当的安全教育。通过结合所有以上措施，可以帮助项目大大减少安全漏洞和黑客攻击的风险。来源：金色财经

金色财经2023-08-22

这家肯定加入标普500的公司，有个大动作

布，其基础是定价期间两家公司股票的日均成交量加权平均价格的平均值。此外，标准普尔表示肯KVUE加入标准普尔500指数的日期将取决于交易要约完成的时间。将被取代的公司尚未确定。

老虎证券2023-08-16

掌门教育签订私有化最终协议每ADS收购价格0.56美元

过去30个交易日和90个交易日的ADS成交量加权平均价格分别溢价约115%和56%。目前，掌门教育处于停牌状态，其市值为1200.52万美元截至7月28日，张翼拥有掌门教育所有已发行及流通股份的约13.5%，约占公司总投票权的82.4%。张翼在私有化收购议案中表示，其相信自己可以及时获得足够的资金来完成收购，其准备迅速与各方谈判并最终确定双方满意的最终协议。他相信此次收购将为公司股东提供卓越的价值。 2021年6月8日，掌门教育正式登陆美股市场，发行价为每ADS（美国存托股票）11.5美元。开盘后，掌门教育股价即上涨触发二次熔断，股价达20.52美元，涨幅超78%。上市之初，K12课外辅导业务如火如荼。据弗洛斯特沙利文报告显示，掌门教育自2017年来就已拥有良好地位。按现金收入口径计算，2020年，“掌门1对1”的市场占有率几倍于其他平台。2020年，掌门1对1的付费学生人次达到54.4万人，较2019年增长43.2%，且用户留存率高达80%。然而，随着“双减”政策的落地，2021年下半年，掌门教育便终止了K12学科辅导业务。2022年9月，公司与掌门联合创始人吴佳峻控制的实体Eternal Zenith签署最终股权收购协议。据此，吴佳峻将通过Eternal Zenith以名义对价收购掌门教育K12课外辅导业务，包括所有相关资产和负债。剥离K12相关业务后，掌门教育继续提供STEAM科目的辅导服务。2022年，尽管该业务收入仅为9460万元，较2021年度的2.993亿元大幅下滑，但仍贡献了约占持续经营业务总收入的99%。对此，掌门教育表示，将继续提供个性化的课后辅导服务，通过完善教材，加强个性化和推荐技术，进一步提升学生的学习体验。此外，2022年3月，掌门教育推出了教育SaaS解决方案OutClass，旨在为中国和海外的教育机构提供支持。

金融界2023-08-02

24小时热点