首發 | CertiK：DeFi項目Walletreum內部操作攻擊事件分析_區塊鏈

馬克思曾在資本論中引用一句名言：“如果有10%的利潤,它就保證到處被使用；

有20%的利潤,它就活躍起來；

有50%的利潤,它就鋌而走險；

為了100%的利潤,它就敢踐踏一切人間法律；

有300%的利潤,它就敢犯任何罪行,甚至絞首的危險。”

對于區塊鏈來說，去中心化是一切的本質，更是區塊鏈世界和生態的標桿。

無論是什么形式的去中心化，它的本質實際上指的都是權力從頂層中心化機構到基層個體的下沉。

這個下沉趨勢隨著世界的發展不斷的惠及每一個個體。區塊鏈所言的“去中心化”同樣是隨著經濟和科技發展，迎合社會發展本質上的一類。鑄幣權便是其中之一。

LBank藍貝殼于4月9日16:50首發 BOSON:據官方公告，4月9日16:50，LBank藍貝殼首發BOSON(Boson Protocol)，開放USDT交易，4月9日16:00開放充值，4月12日16:00開放提現。上線同一時間開啟充值交易BOSON瓜分10,000 USDT。

LBank藍貝殼于4月9日16:50開啟充值交易BOSON瓜分10,000 USDT。用戶凈充值數量不少于1枚BOSON ，可按凈充值量獲得等值1%的BOSON的USDT空投獎勵；交易賽將根據用戶的BOSON交易量進行排名，前30名可按個人交易量占比瓜分USDT。詳情請點擊官方公告。[2021/4/9 20:02:26]

這里的鑄幣權指的是將其下放至專業及安全的團隊或個體手中，通過健康的社區治理，達到實現區塊鏈領域愿景的目的。

首發 | 火幣集團全球業務副總裁：監管將決定區塊鏈技術和加密貨幣的落地速度:1月21日，火幣集團全球業務副總裁Ciara Sun在達沃斯世界經濟論壇上表示，對區塊鏈和數字貨幣的監管態度，2019年是重要的一年。在美國，到2019年底，針對加密貨幣和區塊鏈政策有21項法案，這些法案包括稅收問題，監管結構，跟蹤功能和ETF批準，哪些聯邦機構監管數字資產等。歐盟（EU）在2020年1月10日實施了一項新法律，要求加密貨幣平臺采取更嚴格的反洗錢做法。瑞士，日本，立陶宛，馬耳他和墨西哥通過法律，要求交易所必須根據KYC和AML準則獲得許可。中國，土耳其，泰國等國家正在計劃自己的中央銀行數字貨幣（CBDC）。而監管將決定區塊鏈技術和加密貨幣的落地速度。[2020/1/22]

然而如同早年間的鑄幣行為在傳統金融中屢禁不絕，區塊鏈領域內的惡意鑄幣行為也是無休無止。

首發 | 劉堯：百度區塊鏈推出天鏈平臺賦能鏈上業務:12月20日，由CSDN主辦的“2019中國區塊鏈開發者大會”12月20日在北京舉行。百度智能云區塊鏈產品負責人劉堯以《企業區塊鏈賦能產業創新落地》為主題進行了演講，他指出：2020年將是區塊鏈企業落地的元年，為了支持中國區塊鏈的產業落地，百度將區塊鏈進行平臺化戰略升級，依托百度智能云推出天鏈平臺，就是要賦能360行的鏈上業務創新落地。[2019/12/20]

一個項目其違背去中心化的本質，通過擁有者的極大權限進行惡意鑄幣，不僅僅損害了項目的良勢發展，更是損害了每一位投資者與項目支持者的切身利益。

北京時間11月16日，CertiK安全研究團隊發現DeFi項目Walletreum被項目團隊通過內部操作，惡意鑄造5億個WALT代幣。截止11月16日早5時，惡意鑄造的代幣量已約合近190萬人民幣。

首發 | DVP: Bitstamp交易所存在漏洞 可導致大量KYC等信息被泄露:金色財經訊，近日，DVP收到安全人員提交的全球知名交易所Bitstamp的漏洞，攻擊者可以利用該漏洞查看大量用戶ID、銀行卡等敏感信息，嚴重威脅用戶信息安全。為避免發生KYC泄露的惡性事件，DVP安全團隊在收到該漏洞后，第一時間通知該平臺進行修復，但未收到回應。DVP提醒相關用戶關注個人信息安全，以免造成損失。[2019/8/13]

CertiK安全研究團隊通過分析其智能合約代碼，發現其智能合約代碼中心化風險極高，存在安全隱患，項目擁有者擁有權限向任意地址鑄造任意數目的代幣。

完整技術分析如下：

攻擊詳情分析

項目擁有者地址：0xa5e552e3d643cc89f3b1ceccfd6f42c5c1aee775

圖一：內部操作攻擊交易信息

圖一是Walletreum項目中WALTToken智能合約被內部操作，鑄造額外5億個WALT代幣的交易信息。

該交易哈希值為0xc0f3b0576f18a714d78b822754489d4201c9e36fb0ce4b2f53a93217564710e5。

CertiK天網系統(Skynet)檢測到區塊1126401出現異常交易信息后，立刻向CertiK安全研究團隊發出警示。

CertiK安全研究團隊在對該項目智能合約進行快速分析后，認為該項目為當前一典型的由于智能合約高中心化而導致的攻擊。

圖二：WALTToken智能合約mint()函數

?圖二為遭受內部操作攻擊智能合約中被惡意調用的函數mint()。

從666行的代碼實現中可以看出，任何擁有minter權限、可以通過onlyMinter修飾符限制的外部調用者均可以調用該函數。

該函數的作用是通過667行代碼向任意賬戶鑄造任意數目的代幣。

通過圖三中619行onlyMinter修飾符的邏輯實現，以及615行構造函數中給與智能合約部署者minter權限的邏輯實現，智能合約部署者擁有了可以執行圖二中mint函數的權限。

圖三：onlyMinter修飾符以及給與項目管理者minter權限的構造函數

圖四：項目擁有者擁有minter權限

查詢項目擁有者是否擁有minter權限的結果如圖四所示。

至此，項目擁有者擁有執行mint函數的權利，最終惡意鑄造了5億個WALT代幣，致使項目投資者遭受損失。

安全建議

CertiK安全團隊通過研究認為，目前大多數DeFi項目中均存在類似于Walletreum項目的風險。

該類mint函數以及minter權限的實現表明了當前DeFi項目中項目擁有者權限過大，中心化風險較高。

這會導致內部操作等情況的發生完全依賴于項目擁有者個人或者團隊的“個人素質”與選擇。

CertiK團隊此前分析過同樣存在中心化風險的Mercurity.finance項目，而類似此次Walletreum項目被內部操作攻擊的情況以后想必也依舊會發生。

在此，CertiK團隊發出建議：

如要防范此類內部操作，應當注重提高社區治理的程度，并在項目實現上盡可能降低中心化權限，對任意重要操作均需要通過社區投票或者運用Timelock延時限制機制。

迄今為止，CertiK已為超過200名機構用戶提供了優質服務，保護了超過80億美元的數字資產與軟件系統免受安全損失。

Tags：區塊鏈MINMINTINT開發區塊鏈數字貨幣gemini怎么讀語音MINTI幣Integral Resistance

幣安交易所app下載