比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > 幣贏 > Info

CertiK:SushiSwap仿盤YUNO與KIMCHI智能合約漏洞或存安全隱患_DEV

Author:

Time:1900/1/1 0:00:00

北京時間8月31日和9月1日,CertiK安全研究團隊發現Sushiswap仿盤的兩個項目YUNoFinance(YUNO)與KIMCHI.finance(KIMCHI),其智能合約均存在漏洞。如果利用該漏洞,智能合約擁有者可以無限制地增發項目對應的代幣數目,導致項目金融進度通脹并最終崩潰。

無限增發漏洞

CertiK:某EOA地址將4,000枚ETH轉入Tornado Cash:金色財經報道,據CertiK官方推特發布消息稱,EOA地址(0xC616... )將4,000枚ETH(約770萬美金)轉入 Tornado Cash。據悉,該筆資金可追溯至5月AnubisDAO 撤出的流動性。[2023/7/16 10:58:28]

以Yuno項目中智能合約為例,CertiK安全研究團隊對于該無限增發漏洞進行了詳細分析,技術細節如下:在Yuno項目中的MasterChef.sol智能合約第1354行中,dev方法可以允許當前擁有devaddr身份的智能合約調用者,將devaddr身份轉移給另外一個地址。

CertiK:UN token上有一個惡意的閃電貸款,請大家保持警惕:金色財經報道,CertiK檢測到UN token上有一個惡意的閃電貸款,由于燃燒機制缺陷,該漏洞有可能被利用,請大家保持警惕。Bsc: 0x1aFA48B74bA7aC0C3C5A2c8B7E24eB71D440846F 。[2023/6/6 21:20:04]

截圖出自:https://etherscan.io/下圖中可以看到在智能合約1282行的mint方法是由修飾器onlyOwner進行限制,修飾器onlyOwner決定了只能是智能合約擁有者來執行這個合約。

Quadrant與Polygon合作推出游戲化興趣點數據收集平臺Geolancer:移動定位和數據情報公司Quadrant已經與Polygon合作推出Geolancer,這是一個游戲化的興趣點(POI)數據收集平臺,允許用戶利用專用的智能手機應用程序繪制興趣點(如便利店、餐館、商店和他們附近的其他地方),以此獲得Quadrant的原生代幣eQUAD。(Crypto Daily)[2021/4/24 20:54:11]

獨家 | Balancer流動性池數量已超過1200個:金色財經報道,據DappBirds DeFi Data專題數據顯示,Balancer流動性池數量已超過1200個,DeFi中鎖定資產總價值達52.86億美元,較昨日上漲2.88%,其中Maker,Compound,Synthetix,Aave,InstaDApp分別以13.80億美元,8.19億美元,6.41億美元,4.79億美元,3.14億美元位列前五名。[2020/8/6]

以上三截圖均出自:https://etherscan.io/擁有devaddr身份的調用者,當其身份恰好同時為owner身份的時候,可以通過調用MasterChef.sol智能合約1282行的mint方法,來無限制的增發代幣。1282行的mint方法會繼續調用1130行的mint方法,并繼續由1130行mint方法調用1044行的_mint方法,并最終完成代幣增發的操作。Kimichi項目智能合約中存在的無限增發漏洞與以上漏洞基本相同,因此在這里不進行重復敘述。如果owner和devaddr的地址如果相同,那么在外部沒有對智能合約擁有者限制的情況下,智能合約擁有者擁有權利增發任意數量的代幣,這將會將投資者置于風險之中。那么Yuno和Kimichi這兩個項目中的devaddr和owner是否為同一人呢?是否有其他外部制約機制可以限制這兩個項目的智能合約擁有者呢?下圖為Yuno項目MasterChef.sol智能合約中擁有devaddr和owner身份的地址。

截圖出自:https://etherscan.io/下圖為Kimichi項目中KimchiChef.sol智能合約中擁有devaddr和owner身份的地址。

截圖出自:https://etherscan.io/從上兩圖中可以看到,Yuno項目中擁有devaddr和owner身份的地址為同一個,因此其智能合約擁有者有權利進行無限制的代幣增發。而Kimichi項目中擁有devaddr和owner身份不同,但由于devaddr的身份可以進行轉移,因此也存在一定的風險。目前措施

為了確保無限增發漏洞不會被觸發,對于Yuno和Kimichi兩個項目的智能合約擁有者必須由外部進行限制。當前已經實施的限制條件與Sushiswap項目一致,即對任何由智能合約擁有者進行的智能合約操作,均有48小時的延遲。任何來自智能合約擁有者的操作都會被所有投資者觀察到,并有48小時進行應對操作。CertiK安全團隊建議

當前DeFi以及相關Farming項目異常火爆,由于區塊鏈項目對于項目代碼公開性有要求,因此上線新項目門檻極低。如果盲目借鑒其他項目,任意漏洞都可能被引入到項目中。因此在項目上線之前,應該對項目進行嚴格的安全審計。從投資者角度,當前Farming項目動輒百分之幾千的回報率,極易促使投資者在沒有對項目本身有足夠了解的情況下進行盲目投資。例如SushiSwap,Yuno以及Kimchi三個項目均沒有經過嚴謹的安全驗證就快速上線。投資者可能會被巨大的利益回報迷惑,將寶貴資金投入到有極大風險的智能合約中。

Tags:CERDEVDDRADDDefilancer tokenDEVE幣DDRTaladdinaddc

幣贏
Deribit期權市場播報:0905 — 不斷承壓_LEX

比特幣不斷地沖擊10000美元關口,今天第三天守住,但是從小時線看,呈現階梯型下降,市場正在不斷承壓。以太坊ETH已經跌破近期的價格支撐,短期Put買方大勝.

1900/1/1 0:00:00
DeFi弄潮兒,科學家的牛市_SWAP

編者按:本文來自深潮TechFlow,作者:邦尼,Odaily星球日報經授權轉載。“幣圈大佬的時代已經過去了,現在都流行叫‘科學家’。”一位投資者說.

1900/1/1 0:00:00
一個月5倍的波卡,錯過了還有機會嗎?_以太坊

鑒叔說過,波卡將引領區塊鏈進入正在的3.0時代,區塊鏈之間通過波卡實現互聯互通。但是如果沒有豐富的各種應用來使用波卡網絡,波卡的目標那也只是一個空中樓閣.

1900/1/1 0:00:00
Deribit期權市場播報:0825 — Long Gamma_API

現在的行情,很適合日線周期的longgamma,每天的波動200美元甚至更多。期貨的高拋低吸,可以充分利用期權的非線性。這種行情買方要盡可能的多刨gamma出來,才能彌補時間價值的損耗.

1900/1/1 0:00:00
DeFi平臺Synthetix(SNX)鎖定的總價值超過10億美元_DEFI

編者按:本文來自Cointelegraph中文,作者:ANTóNIOMADEIRA,Odaily星球日報經授權轉載.

1900/1/1 0:00:00
DeFi真革了VC命?YFI、Sushi等草根項目崛起后的思考_DEF

編者按:本文來自巴比特資訊,翻譯:隔夜的粥,星球日報經授權發布。上周末,YFI的價格突破了35000美元,于是所有人的目光都聚集在DeFi身上.

1900/1/1 0:00:00
ads