Morpheus 审计报告分享2:ChianLink 数据源有着不同的“心跳”

最新推荐文章于 2025-11-14 14:08:13 发布
转载 最新推荐文章于 2025-11-14 14:08:13 发布 · 41 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://www.cnblogs.com/ACaiGarden/p/19091106
文章标签:

#it

漏洞信息

漏洞报告

  1. https://code4rena.com/audits/2025-08-morpheus/submissions/S-709

漏洞代码

  1. https://github.com/code-423n4/2025-08-morpheus/blob/a65c254e4c3133c32c05b80bf2bd6ff9eced68e2/contracts/capital-protocol/ChainLinkDataConsumer.sol#L78-L107

漏洞背景

Heartbeat

Heartbeat 是 ChainLink 价格更新的周期,不同的 Data Feeds 会拥有不同的 Heartbeat。

比如 /* by 01022.hk - online tools website : 01022.hk/zh/mbti.html */ 稳定币/USD/* by 01022.hk - online tools website : 01022.hk/zh/mbti.html */ BTC/ETH 价格的 Heartbeat 约为 24 小时。

image

ETH/USD 价格的 Heartbeat 约为 1 小时。

image

漏洞案例

在 ChainLinkDataConsumer 合约中,通过 getChainLinkDataFeedLatestAnswer() 函数返回 pathId_ 对应的价格。其中 dataFeeds 存储的是价格的计算路径,比如 dataFeeds = [BTC/ETH, ETH/USD] 对应着 BTC/USD 的价格。

在 getChainLinkDataFeedLatestAnswer() 函数中依次读取 dataFeeds 中对应的每个价格,并检查其更新时间间隔是否小于 allowedPriceUpdateDelay。

image

但是由于不同的 Data Feeds 会拥有不同的 Heartbeat,同样以 dataFeeds = [BTC/ETH, ETH/USD] 为例:

  1. 当 allowedPriceUpdateDelay 设为 1 H 时,读取 Heartbeat 为 24 H 的 BTC/ETH 价格将会返回 0 值,无法正常进行计算。
  2. 当 allowedPriceUpdateDelay 设为 24 H 时,由于 ETH/USD 价格的 Heartbeat 为 1 H ,过宽的限制可能会读取到过时的价格,从而计算出错误的最终价格。

修复方案

为每个 Data Feeds 设置对应的 Heartbeat 时间,不要共用同一个阈值时间。

补充材料

ChainLink 的 Data Feeds 之间除了 Heartbeat 有所差异外,价格精度 decimals 也有所不同。

Decimals

不同的 Data Feeds 会有不同的 decimals,基本分为 8 和 18 两类。

比如 ETH/USD 的 decimals 为 8:https://etherscan.io/address/0x5f4eC3Df9cbd43714FE2740f5E3616155c5b8419#readContract

image

而 BTC/ETH 的 decimals 为 18:https://etherscan.io/address/0xdeb288F737066589598e9214E782fa5A8eD689e8#readContract

image

cmdos
关注
Chianlink的理想与现实
Odaily_的博客
03-17 703
对预言机来说,立身之本是安全。在解决安全问题的方法中,去中心化是达成安全的重要方式。文 | 王也 运营 | 盖遥 编辑 | 郝方舟出品|Odai...
叶胜超:ChainLink(Link)---分布式预言机中的龙头项目!
qq_42115016的博客
07-16 2407
01 项目简介 LINK币全称ChainLink,Chainlink是2017年6月由旧金山的一家金融科技公司SmartContract推出的项目,是区块链系统中第一个去中心化的预言机,ChainLink可以算得上是预言机概念中的龙头项目了,旨在为智能合约提供可验证的真实数据。 Chainlink本质上是一个为区块链网络和链外提供服务的分布式预言机网络,通过智能合约,区块链网络上运行着各种各样的D...
什么是ChainLink (LINK)
西京刀客
12-28 7364
文章目录预言机ChainLink (LINK)什么是ChainLink (LINK)历史chainlink特色参考 预言机ChainLink (LINK) 官网: https://chain.link/ 官方文档:https://docs.chain.link/docs 什么是ChainLink (LINK) ChainLink于2017年设计,其创造者是史蒂夫·埃利斯(Steve Ellis)、阿里·尤尔斯(Ari Juels)和谢尔盖·纳扎罗夫(Sergey Nazarov)。ChainLink是预言机
Chainlink预言机基本原理(一)
ChainlinkO的博客
12-23 6327
Chainlink预言机基本原理(一) 作者:团长 本文我们来从技术上简述一下Chainlink的基本原理。如果用最短的一句话解释什么是Chainlink,可以说Chainlink一个去中心化的预言机项目,所以为了理解Chainlink的工作原理,我们首先要明白什么是预言机。 预言机 预言机的英文为Oracle,和著名的数据库服务提供商Oracle(甲骨文)重名,但是两者除了名字相同以为并没有任何...
ChainLink原理
wuzhengfei1112的博客
02-10 8473
1 ChainLink简介 1.1 区块链是确定性的 区块链是一个交易驱动的状态机(a transaction-based state machine),它能做的事情就是通过向区块链提交事务/交易(transaction),来将区块链从一个状态转变成另一个状态。简单来说就是:区块链没有主动获取数据的能力,它能用的只有区块链自己本身的数据。数据的缺失导致智能合约的应用范围非常少,目前大部分的应用都是围绕着token来展开的。 区块链的确定性意味着:在任何节点上,只要连入到区块链的分布式网络中,它就可以同步所有
Morpheus 审计报告分享2ChianLink 数据源有着不同的“心跳
drhntdfb的博客
10-05 354
其中 dataFeeds 存储的是价格的计算路径,比如 dataFeeds = [BTC/ETH, ETH/USD] 对应着 BTC/USD 的价格。ChainLink 的 Data Feeds 之间除了 Heartbeat 有所差异外,价格精度 decimals 也有所不同。Heartbeat 是 ChainLink 价格更新的周期,不同的 Data Feeds 会拥有不同的 Heartbeat。不同的 Data Feeds 会有不同的 decimals,基本分为 8 和 18 两类。
Morpheus 审计报告分享ChianLink 数据源有着不同的“心跳
sdcshscdses的博客
11-14 383
config.baseURL = 'https://api.example.com' // api地址。(uni as any).$u.toast(err.message || '网络错误')由于在main.uts挂载了全局属性,因此在pages里面的uvue文件,就可以直接调用了。uview-plus 自带一个 http 模块,但是在实际项目中,还是要自己封装一个,统一管理。你只需要 把 loading 开关打开 即可,成功/失败/超时都会 统一自动关闭,无需手动处理。
Morpheus 审计报告分享:StETH 的精度丢失转账机制
IfB1XRsdh的博客
10-31 214
最近为了帮助大家找工作,专门建了一些工作内推群,各大城市都有,欢迎各位HR和找工作的小伙伴进群交流,群里目前已经收集了不少的工作内推岗位。AND dimensions @> '{"category": "electronics"}'-- JSON包含查询。MySQL采用"一个连接一个线程"的模型,这种设计在连接数较多时会导致严重的性能问题。经过以上的分析,在高并能的场景中,我更推荐使用PostgreSQL,而非MySQL。-- PostgreSQL中,复杂的JSON查询也能高效执行。
Morpheus 审计报告分享:AAVE 项目 Pool 合约地址更新导致的组合性风险
qkP8aID39的博客
10-31 413
至于方案三,不同的模式本来就对应着不同的服务场景,服务本身就是后端接口,切换为工作站模式也许可行,但ASP.NET Core默认就是Server GC,Server GC模式本身为了支持高性能并不会频繁执行垃圾回收(从.NET 9开始不一样,.NET 9的ASP.NET Core默认是第三种模式,.NET 8也支持这种模式,只不过不是默认的)。限定内存为0.5Gi后,内存释放曲线正常,HPA扩缩正常,响应时间正常,问题得到解决,也能解释服务的接口并没有出现性能下降的的现象。代码与dotnet-dump。
morpheus-plugin-core:morpheus核心插件sdk
03-17
Morpheus核心插件库 该库提供了用于扩展Morpheus Ops编排工具的通用框架。 这包括提供用于添加各种集成的插件扩展,例如云集成,服务级别集成或DNS,IPAM,配置管理,UI扩展等的提供程序。 插件架构需要Morpheus 5...
matlab尺度变换代码-morpheus-core:Morpheus数据科学框架的基础库
05-21
Morpheus库旨在促进包含大型数据集的高性能分析软件的开发,以便在(JVM)上进行脱机和实时分析。 该库是用Java 8编写的,并且大量使用了lambda,但是所有JVM语言都可以访问该库。 有关示例的详细文档,请参见 动机 ...
morpheus-image-resize:Morpheus图像调整大小是一个用于调整图像大小JavaScript库。 它允许您使用HTML5 Canvas API将图像调整为给定大小。
05-13
Morpheus图像调整大小 Morpheus图像调整大小是一个用于调整图像大小JavaScript库。 它允许您使用HTML5 Canvas API将图像调整为给定大小。 NPM 您可以使用npm安装Morpheus Image Resize。 npm install --save-dev ...
Morpheus:软件数据平面的特定领域运行时优化_Shel.zip
04-09
Morpheus:软件数据平面的特定领域运行时优化_Shel
MATLAB设计与实现基于MEMS的机械听诊器.zip
12-16
1.版本:matlab2014a/2019b/2024b 2.附赠案例数据可直接运行。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
大学怎样利用科易网18年经验优化本校转化路径?.docx
12-16
大学怎样利用科易网18年经验优化本校转化路径?
高校如何设置转化人才职称评审的破格条件?.docx
12-16
高校如何设置转化人才职称评审的破格条件?
【RIS 辅助的 THz 混合场波束斜视下的信道估计与定位】在混合场波束斜视效应下,利用太赫兹超大可重构智能表面感知用户信道与位置(Matlab代码实现)
12-16
【RIS 辅助的 THz 混合场波束斜视下的信道估计与定位】在混合场波束斜视效应下,利用太赫兹超大可重构智能表面感知用户信道与位置(Matlab代码实现)内容概要:本文围绕“IS 辅助的 THz 混合场波束斜视下的信道估计与定位”展开,重点研究在太赫兹(THz)通信系统中,由于混合近场与远场共存导致的波束斜视效应下,如何利用超大可重构智能表面(RIS)实现对用户信道状态信息和位置的联合感知与精确估计。文中提出了一种基于RIS调控的信道参数估计算法,通过优化RIS相移矩阵提升信道分辨率,并结合信号到达角(AoA)、到达时间(ToA)等信息实现高精度定位。该方法在Matlab平台上进行了仿真验证,复现了SCI一区论文的核心成果,展示了其在下一代高频通信系统中的应用潜力。; 适合人群:具备通信工程、信号处理或电子信息相关背景,熟悉Matlab仿真,从事太赫兹通信、智能反射面或无线定位方向研究的研究生、科研人员及工程师。; 使用场景及目标:① 理解太赫兹通信中混合场域波束斜视问题的成因与影响;② 掌握基于RIS的信道估计与用户定位联合实现的技术路径;③ 学习并复现高水平SCI论文中的算法设计与仿真方法,支撑学术研究或工程原型开发; 阅读建议:此资源以Matlab代码实现为核心,强调理论与实践结合,建议读者在理解波束成形、信道建模和参数估计算法的基础上,动手运行和调试代码,深入掌握RIS在高频通信感知一体化中的关键技术细节。
算法设计贪心算法典型应用:硬币找零、船只装载与会场安排问题求解
最新发布
12-16
内容概要:本文档为《算法分析与设计》第七章的习题解答,主要涉及贪心算法的应用。文档中包含了多道习题的代码实现与运行结果,重点展示了三个典型贪心问题的解决方案:最少硬币找零问题(使用面额1,2,5,10,50,100进行最优组合)、过河问题中在限定船只承重条件下最小化所需船只数量的分配策略,以及基于活动安排的最少会场个数问题(通过按结束时间排序并选择兼容活动来优化资源使用)。每道题目均附有C++实现代码、输入输出示例及程序执行结果。; 适合人群:具备基本数据结构与算法基础,正在学习算法设计与分析的计算机相关专业学生或初级开发者;适合准备算法面试或练习编程竞赛的学习者; 使用场景及目标:①理解贪心策略在实际问题中的应用,如找零、资源调度和任务安排;②掌握贪心算法的核心思想——局部最优导致全局最优,并通过编码实践加深对排序、循环、条件判断等控制结构的综合运用能力;③用于课程作业参考、算法训练及面试准备; 阅读建议:建议结合代码与题目背景独立思考解题思路,尝试手动模拟算法流程,并在本地环境中调试运行代码以深入理解贪心选择性质和算法正确性。
Morpheus AX12固件升级:兼容ATmega328p微控制器
文件名称列表:"Morpheus-AX12-atmega328p-master"表明了这是一个包含原始和编辑后文件的压缩包,可能包含了源代码、文档、示例程序以及可能的安装和使用指南。开发者可以下载这个压缩包,在本地环境中提取、编译并...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值