比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > DYDX > Info

CertiK:Soda項目智能合約安全漏洞分析_ODA

Author:

Time:1900/1/1 0:00:00

判斷一個人到底屬于什么資產階級,只需要看他的負債率。簡而言之,借的錢越多,代表你越有錢。所以借錢從某種角度上來講,是屬于富人的游戲。通過借貸手段合理分配資產從而達到收益也是理財的精髓。相信每個人都好奇過,銀行到底拿我們存的錢去做什么了呢?從這種角度上來講,銀行屬于最大的欠款方。那如果,突然有人攻破了銀行系統,強制銀行“還款”,然后本來需要還到儲蓄者賬戶里的錢款直接被攻擊者收入囊中,儲蓄者和銀行都將成為最大的受害方。

CertiK:Star Protocol項目Discord服務器遭黑客入侵:金色財經報道,據CertiK官方推特發布消息稱,Star Protocol項目Discord服務器遭黑客入侵。在團隊確認已重獲對服務器的控制之前,請勿點擊任何鏈接。[2023/7/11 10:47:24]

北京時間9月21日,CertiK安全研究團隊發現soda區塊鏈項目中存在智能合約安全漏洞,該漏洞允許任意外部調用者通過調用智能合約函數,無視受害用戶債務中的代幣數目,強行結算受害用戶的債務,并將通過結算操作所得的收益轉入到自己的收款地址。soda項目官方現在已經提交修復補丁來修復這個安全漏洞,但由于soda項目采用了TimeLock來將所有的操作延遲48小時,修復補丁會在延遲事件之后生效,因此截止發稿時,該漏洞已完成修復。漏洞技術分析

Balancer加入Vesta Finance激勵計劃:2月13日消息,抵押借貸協議Vesta Finance發推稱,合作伙伴Balancer已加入其激勵計劃,每周將向Balancer上的VSTA-ETH池釋放1000枚BAL(約1.3萬美元)。BAL激勵將在2月14日星期一UTC時間00:00開啟。

目前的VSTA-ETH池質押者不需要做任何事情,因為Balancer的獎勵系統將直接向那些在Vesta Finance質押合約中質押的用戶發放獎勵。[2022/2/13 9:49:13]

https://github.com/

Web3孵化器DAOsquare提前關閉RICE在Balancer上的LBP:Web3孵化器DAOsquare(RICE)發布公告稱,由于市場環境影響導致交易量未達預期,官方提前關閉了其代幣RICE在Balancer上的LBP。[2021/5/24 22:37:16]

聲音 | 瑞士創業公司Cerealia:區塊鏈促進黑海小麥貿易的“數據完整性”:金色財經報道,瑞士創業公司Cerealia周四強調,利用區塊鏈技術進行的第一筆黑海小麥交易的“數據完整性”得到提升,該交易于上周通過其交易平臺進行談判和執行。[2019/11/9]

soda項目中的WETHCalculator.sol智能合約中存在邏輯實現錯誤導致的安全漏洞,圖一中WETHCalculator.sol智能合約第193行,maximumLoad的計算公式錯誤的使用了amount作為基礎值。因此,在196行滿足require()判斷的檢測條件loanTotal>=maximumLoan可以轉換為:loanInfo.amount+interest>=loanInfo.amount*maximumLTV/LTV_BASE由于maximumLTV/LTV_BASE的值是在0.15-0.95區域中變動,并且interest>=0。因此圖一196行的require()判斷中的檢測條件總是為真。失去了該require()判斷的保護,任何外部調用者可以通過調用以下圖二中SodaBank.sol中104行的collectDebt()函數來將任意loadId的貸款清空。在執行該函數的過程中,圖一中的collectDebt()函數會在圖2第121行被執行,并通過123行和125行代碼將該用戶鎖在soda里面的WETH的其中一部分轉移到該外部調用者的地址msg.sender中:

https://github.com/通過以上漏洞,任何外部調用者都可以通過調用SodaBank.sol中的collectDebt()并傳入其他用戶的loadId來清空該用戶在soda中的代幣。官方修復細節

soda官方為修復以上漏洞,設計了新的智能合約WETHCalculatorFixed.sol來替換WETHCalculator.sol。通過分析可以看到在圖三WETHCalculatorFixed.sol智能合約第979行,maximumLoan的計算公式被正確的計算為loanInfo.lockedAmount*maximumLTV/LTV_BASE。因此,圖三中第982行require()判斷的檢測條件變更為:loanInfo.amount+interest>=loanInfo.lockedAmount*maximumLTV/LTV_BASE

https://github.com/該等式的代碼實現與soda項目中的邏輯設計相符,該等式的真假與用戶的借貸債務數目和被鎖本金數目相關。漏洞完成修復。soda項目中關于該等式的邏輯設計細節可以從下面的鏈接中進行了解:https://medium.com/soda-finance/the-soda-revolution-9185fdb99fc1事件分析總結

該漏洞是由于邏輯設計與代碼實現不符而造成。當前常用的單元測試等測試方法以及自動化的測試工具均無法有效的查找到該種與邏輯相關的漏洞。因此,CertiK安全團隊有以下安全建議:安全是區塊鏈項目的立足之本,任何區塊鏈項目在上線前需要請專業第三方安全審計團隊對項目整體代碼進行安全審計。當前區塊鏈檢測工具對智能合約的檢測均無法檢測其邏輯上出現的漏洞,其結果也沒有可信的數學證明作為支撐。形式化驗證是當前唯一被證明可以產生可信數學證明的軟件驗證方法。采用基于形式化驗證方法的區塊鏈檢測工具來驗證項目中的安全漏洞,應成為每一個項目在上鏈前的必經步驟

Tags:ODASODSODACERLegioDAOSODIUM Vault (NFTX)SODA幣Cere Network

DYDX
數據科學家告訴你,BTC還有多大升值潛力?_UNI

編者按:本文來自加密谷Live,作者:Coinmetrics,翻譯:李翰博,Odaily星球日報經授權轉載.

1900/1/1 0:00:00
HashKey:盤點加密貨幣套利機會與DeFi套利趨勢_DEFI

編者按:本文來自鏈聞ChainNews,星球日報經授權發布。撰文:林布倫,就職于HashKeyCapitalResearch審校:鄒傳偉,萬向區塊鏈、PlatON首席經濟學家套利是指市場中投資者.

1900/1/1 0:00:00
永續協議Balancer LBP參與教程詳解_PERP

編者按:本文來自區塊律動BlockBeats,Odaily星球日報經授權轉載。永續協議將于北京時間2020年9月9日14:00左右,通過BalancerLBP分發750萬個PERP.

1900/1/1 0:00:00
半年報探營262只區塊鏈概念股成色:集體避談區塊鏈收入,應用落地者不足一成_USDT

編者按:本文來自證券日報,Odaily星球日報經授權轉載。透過已披露完畢的半年報,上市公司布局區塊鏈的情況也逐漸浮出水面.

1900/1/1 0:00:00
牛市絞肉機:散戶與大戶的財富再分配_ENG

最近看到一組數據令我吃驚,今年7月1日,國內4個大學教授從上海證券交易所獲得了數據,其中包括約4000萬個帳戶的全部投資者的詳細持有量和交易記錄.

1900/1/1 0:00:00
ETH周報 | Uniswap推出治理代幣UNI并開啟流動性挖礦;鏈上日交易量達140萬次再創新高(9.14-9.20)_ETHER

作者|秦曉峰編輯|郝方舟出品|Odaily星球日報 一、整體概述 歐科云鏈OKLink數據顯示,九月前半個月,以太坊鏈上手續費為24.32萬ETH,約合9643.61萬美元.

1900/1/1 0:00:00
ads