CertiK：SushiSwap智能合約漏洞事件分析_SWAP

北京時間8月28日，CertiK安全研究團隊發SushiSwap項目智能合約中存在多個安全漏洞。該漏洞可能被智能合約擁有者利用，允許擁有者進行包括將智能合約賬戶內的代幣在沒有授權的情況下取空等操作在內的任意操作。同時該項目智能合約還存在嚴重的重入攻擊漏洞，會導致潛在攻擊者的惡意代碼被執行多次。技術解析

CertiK：NFT紙牌游戲Z-ERA出現漏洞損失28.5萬美元:金色財經報道，區塊鏈安全公司CertiK報告稱，基于NFT的紙牌游戲Z-ERA出現漏洞損失285,000美元。CertiK發現了一個涉及由外部帳戶部署的未經驗證的合約的漏洞。攻擊者獲得了180萬個ZERA代幣并出售，導致ZERA代幣價格暴跌99%。

此外，1178.5枚BNB被轉移到Tornado Cash。被盜代幣約占總供應量的27%。盡管事件發生在游戲發布后不久，但Z-ERA對這次襲擊事件保持沉默。[2023/6/22 21:53:26]

Balancer決定裁員、削減運營預算并改革品牌戰略:金色財經報道，在周四的社區電話會議上，DeFi流動性協議Balancer的服務提供商Orb Collective透露，他們正在削減運營預算并裁員，以全面改革Balancer的品牌戰略。會議透露，管理Balancer協議前端的OpCo已經解雇了兩名工程師，并減少了運營預算。該協議將重點轉向改善其用戶界面和營銷，并將組建一個專門的營銷團隊，討論Balancer如何與平臺用戶合作的機制。[2023/4/14 14:03:46]

MasterChief.sol:131圖片來源：https://github.com/sushiswap/在SushiSwap項目MasterChief.sol智能合約的131行中，智能合約的擁有者可以有權限來設定上圖中migrator變量的值，該值的設定可以決定由哪一個migrator合約的代碼來進行后面的操作。

新AMPL Geyser將在SushiSwap、Balancer和Uniswap上啟動:Ampleforth宣布新一輪Geyser將在下周啟動，新一輪Geyser共包括3個項目，分別將上線SushiSwap、Balancer和Uniswap，3個Geyser項目共將分配390萬枚AMPL。到目前為止，已經有數千名社區成員參與在Uniswap和Mooniswap上進行的Geyser項目。[2020/11/21 21:35:46]

MasterChief.sol:136。圖片來源：https://github.com/sushiswap/當migrator的值被確定之后，migrator.migrate(lpToken)也就可以被隨之確定。由migrate的方法是通過IMigratorChef的接口來進行調用的，因此在調用的時候，migrate的方法中的邏輯代碼會根據migrator值的不同而變化。簡而言之，如果智能合約擁有者將migrator的值指向一個包含惡意migrate方法代碼的智能合約，那么該擁有者可以進行任何其想進行的惡意操作，甚至可能取空賬戶內所有的代幣。同時，在上圖142行中migrator.migrate(lpToken)這一行代碼執行結束后，智能合約擁有者也可以利用重入攻擊漏洞，再次重新執行從136行開始的migrate方法或者其他智能合約方法，進行惡意操作。該漏洞的啟示

·智能合約擁有者不應該擁有無限的權利，必須通過社區監管及治理(governance)來限制智能合約擁有者并確保其不會利用自身優勢進行惡意操作。·智能合約代碼需要經過嚴格的安全驗證和檢查之后，才能夠被允許公布。當前SushiSwap項目創建者表示，已將該項目遷移到時間鎖定合約，即任意SushiSwap項目智能合約擁有者的操作會有48小時的延遲鎖定。在此CertiK技術團隊建議大家在智能合約公布前，盡量尋找專業團隊做好審計工作，以免項目出現漏洞造成損失。

Tags：RATSWAPCERTORRATS幣BarbecueSwapDefilancer tokenTORO

比特幣價格今日行情