达里乌斯·巴鲁(Darius Baruo)
3月24日,2025年09:28
Conflux(CFX)网络已经完成了重大的安全升级,以解决其EVM中的漏洞,从而提高用户资产的安全性并加强生态系统安全性。
Conflux(CFX)网络在2025年3月17日在其以太坊虚拟机(EVM)中发现了一个漏洞后,成功执行了关键的安全升级版本2.5。根据Conflux论坛的说法,该漏洞最初是由Grafun团队确定的。
事件的背景
该漏洞于2025年2月13日报道,涉及 CREATE2 OpCode允许在现有地址重新部署合同,并有可能重置其州。这种缺陷偏离了禁止这种重新部署的标准以太坊EVM行为。
安全影响评估
一项全面的安全影响评估表明,由于其他地址冲突检查,大多数工厂合同,例如Swappi工厂,都不受影响。但是,GNOSIS安全合同缺乏这些检查,构成了国家重置的风险,并对先前签署的交易产生重播攻击。
安全评估涉及检查大约30个Gnosis安全合同,表明尽管大多数资金都是安全的,但少数人可能面临风险。
安全响应过程
Conflux通过通知生态系统合作伙伴并促进高危资产的转移来迅速采取行动来减轻威胁。安全升级过程涉及几个阶段:
- 脆弱性修复和集成测试: 于2月21日完成。
- 内部测试网升级: 于2月24日进行。
- 公共测试网升级: 2月25日宣布,自3月3日起。
- 主网升级部署: 3月3日宣布,3月17日。
验尸分析
该漏洞源于Conflux EVM的原始代码从OpenEthereum移植,该代码包含误导性评论,缺乏明确的错误定义。这些因素导致对以太坊的误解 CREATE2 行为,导致Conflux实施中的批判性检查省略。
漏洞赏金奖励
认识到脆弱性的严重性,Conflux授予Grafun团队的总赏金为60,000 CFX,承认其及时的报告和预防潜在损失。
后续操作和安全性增强
展望未来,Conflux计划与以太坊EVM功能同步并整合官方测试用例,以防止类似的漏洞。此举旨在增强Conflux的安全性和与以太坊生态系统的兼容性。
Conflux团队仍致力于透明度和快速响应,以确保其生态系统的安全和对用户兴趣的保护。
图像来源:Shutterstock
(tagstotranslate)AI(T)加密(T)区块链(T)新闻
关键词:
