“亡羊補牢,為時未晚”,這句話在生活中的大部分時候均適用。然而,在面臨網絡安全時,牢破也許就會造成無法挽回的損失。在安全問題未造成不可彌補的損失前就被發現,或是一開始便做好萬全準備,才是身為區塊鏈從業者的安全第一要義。北京時間8月14日下午,CertiK安全技術團隊發現DeFi匿名耕種項目Based官方宣布有攻擊者通過調用Based智能合約中的某一個函數,將一號池凍結,同時宣布將重新部署其一號池。官方發布推特稱,有黑客試圖將“Pool1”永久凍結,但嘗試失敗。而“Pool1”將繼續按計劃進行。CertiK通過分析該智能合約,認為這次凍結Based項目一號池事件,是一次由于存在智能合約漏洞導致的事故。
Perpetual Protocol推出Balancer PERP/USDC LP獎勵計劃:金色財經報道,據官方Medium文章消息,DeFi衍生品協議Perpetual Protocol宣布推出針對Balancer Shared Pool (BSP) 的PERP/USDC LP獎勵計劃。PERP/USDC流動性獎勵計劃將向為Balancer Shared Pool (BSP)池提供流動性的持幣者提供獎勵。流動性提供者(LP)將根據他們提供流動性的時間和資金池中的份額按比例獲得獎勵。[2020/12/22 16:01:56]
Kava旗下應用Harvest.io通過Certik的代碼審計:區塊鏈安全公司CertiK對Kava旗下應用Harvest.io模塊的代碼系統進行了審計,未發現重大或關鍵漏洞,驗證了應用的可信度。
Harvest.io是一個跨鏈貨幣市場,也是首批搭建在Kava區塊鏈上的應用之一。Harvest支持加密用戶能夠使用主流加密貨幣進行借貸和賺取收益。[2020/10/27]
事件經過
Based團隊部署一號池智能合約,部署地址為0x77caF750cC58C148D47fD52DdDe43575AA179d1f。Based官方通過調用智能合約中的renounceOwnership函數來聲明智能合約所有者,但未進行智能合約初始化。由于在Based智能合約中initialize函數被錯誤的設置為可以被外部調用,因此造成在初始化智能合約過程中,一號池的智能合約被外部攻擊者用錯誤的值初始化。錯誤的初始化造成Based官方無法再次初始化一號池的智能合約,因此造成一號池被凍結,任何質押行為都無法完成。Based官方決定放棄該智能合約,重新部署一號池智能合約。智能合約技術細節
區塊鏈安全公司CertiK將于10月24日上線CertiK主網:區塊鏈安全公司CertiK宣布CertiKChain主網將于北京時間2020年10月24日22點24分上線。據此前報道,9月中旬,CertiK基金會正式開源CertiKChain。目前已開放使用的產品包括CertiKChain、去中心化CertiK安全預言機、用于編寫安全智能合約的安全編程語言和編譯器工具鏈DeepSEA工具鏈。[2020/10/22]
1.Based團隊在部署智能合約后,沒有及時的調用下圖的initialize函數來初始化智能合約的設置:
去中心化交易平臺Balancer資產管理規模超過1億美元:6月27日消息,去中心化交易平臺Balancer資產管理規模已超過1億美元。此前報道稱,Balancer治理代幣BAL于6月25日在加密交易所FTX上線。(The Block)[2020/6/27]
2.外部調用者利用Based團隊在部署和初始化智能合約之間的時間差,乘機調用了下圖中671行被錯誤設置調用范圍的initialize函數,搶先初始化了一號池的智能合約:
3.上圖兩個initialize函數都是由initializer的修飾符修飾。根據其中代碼,如果調用了其中一個initialize函數,另外一個initialize函數就無法被調用。initializer修飾符代碼如下圖所示,這造成了Based官方失去了初始化函數的機會:
4.綜上因素,Based智能合約無法被官方正確初始化,因此任何質押行為都無法進行。質押失敗的交易記錄:
如何避免事件發生
該次事件本質上是由智能合約漏洞導致的,但如果Based團隊提早注意到這個漏洞,提前初始化智能合約,可以完全規避這次危險,避免一號池被凍結。因此,CertiK安全技術團隊提出如下建議:部署智能合約時應準備好初始化智能合約所需要的命令腳本等工具,及時初始化智能合約,避免攻擊者利用部署操作和初始化操作之間的時間差搶先初始化或者操縱智能合約。了解智能合約的運行原理和技術細節,不要盲目的采用其他的智能合約代碼。邀請專業的安全團隊對其智能合約進行審計,保證智能合約的安全性和可靠性。我們絕不僅僅是尋找漏洞,而是要消除哪怕只有0.00000000001%被攻擊的可能性。
編者按:本文來自鏈聞ChainNews,撰文:林布倫,就職于HashKeyCapitalResearch,星球日報經授權發布。本文以Compound項目為例研究DeFi治理代幣及流動性激勵.
1900/1/1 0:00:00作者|秦曉峰編輯|Mandy王夢蝶出品|Odaily星球日報 昨晚,一路飆漲的Serum將增加1900萬流通量的消息在社區流傳,引發熱議。投資者擔心,增加的流通量會造成SRM砸盤.
1900/1/1 0:00:00編者按:本文來自DeepChain深鏈,作者:Mark,Odaily星球日報經授權轉載。再高級的資金盤也會有崩塌的那一天.
1900/1/1 0:00:00編者按:本文來自巴比特資訊,作者:JOSEPHYOUNG,譯者:Kyle,星球日報經授權發布。隨著繼續飆升,并達到13.8799美元,Chainlink價格繼續創下新紀錄.
1900/1/1 0:00:00原地址:https://cdixon.org/作者:cdixon翻譯:PhalaTeam閱讀時間:3分鐘2007年的一個媒體見面會上,一個記者對喬布斯展示的蘋果最新款觸屏手機嗤之以鼻.
1900/1/1 0:00:008月12日,整個幣圈被YAM刷屏了,這讓我想起了三年前加密貓橫空出世的時候,很多老韭菜上一次使用數字貨幣錢包可能就是那時。8月12日凌晨三點,YAM官方正式開啟流動性挖礦.
1900/1/1 0:00:00