北京時間11月12日,CertiK安全研究團隊發現DeFi項目text.finance智能合約代碼部分存在安全漏洞。
分析之前,先考考大家的眼力,看看下圖里面的文字說了什么。
如果看不清,不妨點擊圖片后把屏幕亮度調至最高。
有的時候,某些不想讓你看到的因素,正是通過排版或者這樣的方式,被刻意隱藏了起來。
接下來說說該項目中存在的兩處漏洞。大家不妨在閱讀文章的時候注意一下圖中的位置。
第一彈:項目擁有者可通過第一處漏洞,將指定數目代幣轉移到任意地址。
第二彈:項目擁有者可通過第二處漏洞,將任意投資者的流動性池中的資產強制轉移到項目擁有者的地址中。
百度Apollo首發 “Apollo 001”系列紀念數字藏品:金色財經報道,據百度Apollo智能駕駛官方公眾號,百度Apollo全網首發首款 “Apollo 001”系列紀念數字藏品,以百度汽車機器人為主體形象,每款對應一個百度Apollo自動駕駛重要里程碑事件。據悉,該數字藏品將于2022年7月8日 09:55發布汽車機器人家族全家福空投款。[2022/7/7 1:58:19]
漏洞分析
textMiner.sol
部署地址:?
https://etherscan.io/address/0x9858728de38c914c2ea32484a113b6628d984a82#code
首發 | 火幣集團全球業務副總裁:監管將決定區塊鏈技術和加密貨幣的落地速度:1月21日,火幣集團全球業務副總裁Ciara Sun在達沃斯世界經濟論壇上表示,對區塊鏈和數字貨幣的監管態度,2019年是重要的一年。在美國,到2019年底,針對加密貨幣和區塊鏈政策有21項法案,這些法案包括稅收問題,監管結構,跟蹤功能和ETF批準,哪些聯邦機構監管數字資產等。歐盟(EU)在2020年1月10日實施了一項新法律,要求加密貨幣平臺采取更嚴格的反洗錢做法。瑞士,日本,立陶宛,馬耳他和墨西哥通過法律,要求交易所必須根據KYC和AML準則獲得許可。中國,土耳其,泰國等國家正在計劃自己的中央銀行數字貨幣(CBDC)。而監管將決定區塊鏈技術和加密貨幣的落地速度。[2020/1/22]
1.漏洞一
首發 | 劉堯:百度區塊鏈推出天鏈平臺賦能鏈上業務:12月20日,由CSDN主辦的“2019中國區塊鏈開發者大會”12月20日在北京舉行。百度智能云區塊鏈產品負責人劉堯以《企業區塊鏈賦能產業創新落地》為主題進行了演講,他指出:2020年將是區塊鏈企業落地的元年,為了支持中國區塊鏈的產業落地,百度將區塊鏈進行平臺化戰略升級,依托百度智能云推出天鏈平臺,就是要賦能360行的鏈上業務創新落地。[2019/12/20]
項目擁有者在textMiner.sol智能合約1000行處實現了withUpdates()函數。該函數的的作用是可以將任意數量的為devaddr地址鑄造任意數量的代幣。而通過查看圖2中devaddr和項目擁有者owner的地址值,可以發現兩者相同,因此項目擁有者可以通過該漏洞為devaddr地址鑄造任意數目代幣。
金色首發 EOS超級節點競選投票率達6.49%:金色財經數據播報,截止北京時間6月13日15:50,EOS投票率達6.49%。EOS引力區和EOS佳能作為兩個來自中國的超級節點競選團隊暫居第五和第六名。其中EOS引力區的得票總數為903萬,占比2.96%;EOS佳能的得票總數為877萬,占比2.87%。此前異軍突起的EOSflytomars暫居第17位,得票總數為630萬,占比2.07%。目前躋身前30名的超級節點競選團隊中,有八個團隊來自中國。[2018/6/13]
同時,當前的devaddr地址擁有者可以通過圖3的dev()函數將devaddr地址值更換到另外一個地址,因此最終項目擁有者可以更換將devaddr地址值更換的方法,向任意地址中鑄造任意數目代幣。
雖然項目擁有者將圖1中的withUpdates()函數設置為不允許智能合約外部調用,但是卻有意地在圖4中919行實現了允許被外部調用的add()函數,然后通過921行代碼調用withUpdates()函數,從而實現向devaddr地址鑄造1000000000000000000000000000000數量代幣。
圖1:第1000行中的withUpdates()函數
圖2:devaddr地址以及項目擁有者owner地址
圖3:dev()函數
圖4:add()函數
2.漏洞二
圖5:emergencyWithdraw()函數
項目擁有者可以通過調用圖5中emergencyWithdraw()函數,將某一個特定地址投資者的某一個流動性池中的流動性資產全部取出,并轉移到項目擁有者的地址中。
該emergencyWithdraw()函數是一個基于正確的emergencyWithdraw()函數。因此就算審視合約者不惡意揣測,也很難說項目方不是惡意改寫,并添加了該漏洞。
從下圖6的對比中可以發現,Sushiswap允許投資者通過調用emergencyWithdraw()函數,緊急取出屬于自己的流動性資產,而在text.finance中卻僅允許項目擁有者來調用該函數,同時允許項目擁有者取出屬于任何投資者的流動性資產。
圖6:text.finance和sushiswap項目中emergencyWithdraw()函數實現對比
安全建議
CertiK安全研究團隊認為當投資者在對DeFi項目進行投資時,不僅需要對智能合約常見的代碼有所了解,更需要謹慎地審視具體代碼的實現邏輯。否則極易掉入類似該項目中的惡意漏洞陷阱當中。
對于非技術背景的投資者,更需要了解項目是否經過嚴謹的技術審計。從Text.finance項目的惡意漏洞中可以看出,盲目投資一個沒有經過嚴格審計的項目,或引發極大風險,并造成難以估量的損失。
CertiK是采用形式化驗證工具來證明智能合約可靠性的業內頂尖公司。公司內部審計專家將利用包括形式化驗證在內的多種軟件測試方法,結合一流的白帽黑客團隊提供專業滲透測試,從而確保項目從前端到智能合約整體的安全性。如你的項目需要保障,請發送郵件至或直接后臺留言進行免費咨詢及報價。于此同時,CertiK的新產品預言機及快速掃描,也將為鏈上項目進行實時打分并且出具快速掃描分數。
如果你需要查找某項目的信息及安全分數,請登錄CertiKFoundation官網的CertiKShield頁面進行瀏覽:https://shield.certik.foundation/
趙長鵬在采訪中表示,中國的央行數字貨幣領先于其它國家,將給其它國家施加壓力。第一個啟用中央銀行數字貨幣的國家將能夠吸引許多國際使用量和國際交易量.
1900/1/1 0:00:00鏈聞消息,慢霧科技宣布已完成對波卡DeFi平臺Acala的安全審計服務,在審計過程中發現了一個中級和一個低級漏洞,在與Acala團隊溝通后,問題已得到解決,并由慢霧審計人員再次審查并通過.
1900/1/1 0:00:00近期行情瞬息萬變,昨天整體還只有BTC一個在漲,洗盤特別嚴重。今天PayPal正式向所有符合條件的美國用戶開放了加密貨幣服務的消息,直接助推BTC創新高以及點燃整個加密貨幣板塊的炒作熱情.
1900/1/1 0:00:00文章系金色財經專欄作者幣圈北冥供稿,發表言論僅代表其個人觀點,僅供學習交流!金色盤面不會主動提供任何交易指導,亦不會收取任何費用指導交易,請讀者仔細甄別,謹防上當.
1900/1/1 0:00:00市場,就是一個大舞臺,不是所有的行情都可以陳述,人是需要某種信念來激勵和約束的,人靜而后能安,人安而后能定,過去的波動,在無憾后微笑,才美麗;博弈的成敗,在收獲后微笑,才多姿;資金的起伏.
1900/1/1 0:00:00都說亂世買黃金,可近期被視為“數字黃金”的比特幣走勢卻霸氣十足盡顯“王者風范”,價格一度接近16000美元,并且相當長時間站穩在1.5萬美元以上,市場斷言一場“靜悄悄的牛市”已經來臨.
1900/1/1 0:00:00