一行代码蒸发了 6,447,277,680 人民币；最受欢迎的Linux发行版出炉

（点击上方蓝字，快速关注我们）

转自：高金、开源中国、solidot、cnBeta、腾讯科技等

0、一行代码蒸发了 6,447,277,680 人民币！

4 月 22 日，OKEx 发布公告，暂停 BEC 交易和提现。

而在此公告之前的一个多小时，一篇名为“一行代码蒸发了 6,447,277,680 人民币！”的文章已经在币圈和链圈流传，文中分析了漏洞产生的原因。

据分析，BEC 智能合约(https://etherscan.io/address/0xc5d105e63711398af9bbff092d4b6769c82f793d)中的 batchTransfer 批量转账函数存在漏洞，攻击者可传入很大的 value 数值，使 cnt * value 后超过 unit256 的最大值使其溢出导致 amount 变为 0。

你传几个地址给我(receivers)，然后再传给我你要给每个人多少代币（value)，发送的总金额 = 发送的人数*发送的金额，所以这会要求你当前的余额大于发送的总金额。

当其设置的值超过了取值范围时，就会出现“溢出”漏洞，黑客利用这个漏洞就可无限生成新的代币。

就一个简单的溢出漏洞，导致 BEC 代币的市值接近归 0。但事实上开发者也考虑到溢出问题了，如下：

除了 amount 的计算外, 其他的给用户转钱都用了 safeMath 的方法（sub,add)，safeMath 是为了计算安全而写的一个 library。

那么，为啥就偏偏这一句没有用 safeMath 的方法呢。这就只能问写代码的人了。还好，目前 BEC 已暂停交易，但究竟生成了多少代币，还未公布。

1、外卖平台用户信息泄露 精确到你吃的什么、在哪儿吃的

网络运营公司借助软件搜集用户的订餐信息，打包后倒卖给电话销售公司。甚至还有一些外卖骑手也做起了客户信息倒卖的“生意”。记者通过电话找到外卖骑手李德，其表示可以售卖用户订餐信息，但价格稍高，一元一条。

目前，饿了么和美团都已回应表示已第一时间启动了相关信息的核实排查，对于此类事件，将严惩不贷。

2、抛开 Android 不谈，谁是最受欢迎的 Linux 发行版

根据 StatCounter 调查报告，Android 是所有操作系统中最受欢迎的。 以 39.49％ 比 36.63％ 的分数击败 Windows，成为全球个人设备之最。

DistroWatch 是最全面的 Linux 用户数据收集和新闻发布站点。排名显示，近 3 月内最受欢迎的 Linux 发行版是 Manjaro。

3、阿里企业级 UI 设计语言 Ant Design 3.4.3 发布

Ant Design 是阿里开源的一套企业级的 UI 设计语言和 React 实现，Ant Design 3.4.3 已发布，更新内容如下：

● 修复了 webpack@4 下使用 Tree Shaking 样式丢失的问题。#10197

● 修复 Menu 组件在 dark 主题下点击区域的问题。#10187

● ......（详情：https://github.com/ant-design/ant-design）

4、AndroidUtilCode 1.14.0 发布，安卓工具类库

AndroidUtilCode 是一个强大易用的安卓工具类库，AndroidUtilCode 1.14.0 已发布，更新日志如下：

● 修复多 FileProvider 带来的问题，发布 1.14.0 版本

● 新增 RSA 加解密，发布 1.13.16 版本

● 新增 LogUtils 设置栈偏移

● 新增 AppUtils#relaunchApp、DeviceUtils#getABIs

● ......（详情：https://github.com/Blankj/AndroidUtilCode/blob/master/update_log.md）

5、Apache BookKeeper 4.7.0 发布，低延迟的存储系统

Apache BookKeeper 是一个针对实时工作负载优化的可扩展、高容错和低延迟的存储服务，Apache BookKeeper 4.7.0 已发布，这是自上个主要版本 4.6.0 发布以来的又一个里程碑版本，包含数百项 BUG 修复、改进和特性。新版本引入了新的元数据服务 API ，基于 rocksdb 的 ledger 储存，并在减少 jvm 垃圾收集，减少锁争用以及围绕可操作性等方面进行了改进和增强。（详情：http://bookkeeper.apache.org/docs/4.7.0/overview/releaseNotes/）

6、Angular 6.0 即将发布，承诺更小更快更易用

本月早些时候，Angular 团队发布了 6.0 的第五版候选版本，其中包括一些错误修复以及添加令牌标记和支持配置导航网址。6.0 版本的关键功能是将所有版本的框架结合起来，这意味着核心路由器，平台浏览器，CLI，Angular Material 和其他解决方案的最新版本将一起发布，以便开发人员更好地访问最新版本的 Angular。除了 6.0 版之外，该团队正在重写视图引擎并增加对 Bazel 的支持。

7、Facebook 开源的大数据查询引擎 Presto 0.199 发布

Presto 0.199 已发布，该版本包含大量更新内容，包括一些常规修复和改进，以及对 Server RPM、安全性、JDBC 驱动、Hive、Thrift Connector 和 SPI 的相关更改。比如说支持使用 JWT 访问令牌进行身份验证，支持左连接，JDBC 驱动与 Java 9+ 完全兼容等等。（详情：https://prestodb.io/docs/current/release/release-0.199.html）

8、Element React 1.4.16 发布

Element React，是一套为开发者、设计师和产品经理准备的基于 React 的组件库，是 ElementUI 的 React  版本。Element React 1.4.16 已发布，主要是修复了调整表格宽度时，光标离开表格不恢复默认样式的 BUG 。（详情：https://github.com/eleme/element-react/releases）

9、微软：2017年报告技术支持骗局超15.3万起 比去年增长24%

近年来技术支持诈骗已经成为窃取用户个人信息的主要方式，除了传统的邮件、伪造的网站和各种错误警告之外，黑客还会利用各种恶意软件以及未经请求的电话方式来开展恶意活动。然而外媒 ZDNet 表示，这种情况在未来只会变得更加糟糕。

在刚刚过去的 2017 年，微软客户支付服务收到来自全球 183 个国家，总共超过 15.3 万起关于技术支持诈骗的案件。Windows Defender 研究项目经理 Erik Wahlstrom 表示，案件数量比 2016 年多了 24%。

觉得这些资讯有帮助？请转发给更多人

关注 技术最前线 ，看 IT 要闻