比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > AVAX > Info

首發 | Mercurity.finance智能合約安全漏洞分析_ISS

Author:

Time:1900/1/1 0:00:00

今年美國大選雖說有了廣泛意義上的塵埃落定,但競選結果并未明確。

如今拜登團隊宣布勝選,美國媒體紛紛宣布拜登當選下屆美國總統。而另一方面,川普拒絕接受敗選結果,他持續進行計票,并宣稱要采取法律行動。

造成如今這個混亂結果的首要原因在于美國沒有設立獨立的對大選事務具有權力的權威性的選舉委員會,在默認情況下,是新聞機構承擔了這個角色。假如川普獲得過大的權力,控制了大多新聞機構,營造虛假選票,結果尚未可知。

這就意味著某種程度上,可以說是極盡中心化的“推特治國”后的又一“媒體選舉”。

從選舉,到互聯網,到區塊鏈,2020年,中心化不再是權威的體現,而是“獨斷”、“專權”的代名詞。

首發 | 區塊鏈技術及軟件安全實戰基地正式成立:金色財經報道,今日,中軟協區塊鏈分會、人民大學、菏澤市局相關部門聯合共建的區塊鏈技術及軟件安全實戰基地正式成立。同時聘任中軟協區塊鏈分會副秘書長宋愛陸為區塊鏈技術及軟件安全實戰基地特別專家。

區塊鏈技術及軟件安全實戰基地主要涉及領域為:非法數字貨幣交易與洗錢、區塊鏈傳銷與電信詐騙、網絡賭博、四方支付、冒用商標注冊等,聯合社會治理、城市安全、前沿技術領域的行業專家,進行警協合作。

據公開報道,近期菏澤市下屬機關剛破獲一起特大電信網絡詐騙案,打掉多個涉嫌以網貸和投資“比特幣”為名的詐騙團伙,抓獲犯罪嫌疑人83名,扣押凍結涉案資金2700萬元。[2020/7/21]

北京時間11月9日,CertiK安全研究團隊發現DeFi項目Mercurity.finance智能合約代碼部分存在中心化風險。

首發 | 火幣集團全球業務副總裁:監管將決定區塊鏈技術和加密貨幣的落地速度:1月21日,火幣集團全球業務副總裁Ciara Sun在達沃斯世界經濟論壇上表示,對區塊鏈和數字貨幣的監管態度,2019年是重要的一年。在美國,到2019年底,針對加密貨幣和區塊鏈政策有21項法案,這些法案包括稅收問題,監管結構,跟蹤功能和ETF批準,哪些聯邦機構監管數字資產等。歐盟(EU)在2020年1月10日實施了一項新法律,要求加密貨幣平臺采取更嚴格的反洗錢做法。瑞士,日本,立陶宛,馬耳他和墨西哥通過法律,要求交易所必須根據KYC和AML準則獲得許可。中國,土耳其,泰國等國家正在計劃自己的中央銀行數字貨幣(CBDC)。而監管將決定區塊鏈技術和加密貨幣的落地速度。[2020/1/22]

項目擁有者擁有過大權限,可以進行任意數目的鑄幣,并為給定賬戶提供任意數目的獎勵。

動態 | 可信教育數字身份在廣州白云區首發 采用區塊鏈等技術:12月25日,可信教育數字身份(教育卡)廣東省應用試點首發儀式與應用研討在廣州市白云區舉行。

據介紹,可信教育數字身份融合采用國產密碼、區塊鏈等核心技術,創新簽發“云計算、邊緣計算、移動計算”網絡環境下的一體化數字身份,實現一體化密鑰管理,構建“可信教育身份鏈”。(中國新聞網)[2019/12/25]

技術步驟分析如下:

ERC20Token.sol

代碼地址:

https://github.com/MER-DAO/MEE-core/blob/main/contracts/tokens/ERC20Token.sol

IMEOS首發 BM表示EOS合約具有整數溢出保護:據金色財經合作媒體IMEOS報道:近日ETH出現多個ERC20智能合約的處理溢出錯誤,BM在推特上發表評論:新的ETH契約Bug可能會破壞整個Token的供應,讓持有者留下無價值Token.這就算為什么代碼不能成為法律,隨即表示EOS erc合約不容易受到這種攻擊。而EOS官方群也有人表示擔憂EOS是否具有整數溢出保護?BM回應:有很多C ++模板類可以封裝類型并檢查溢出。[2018/4/25]

部署地址:

https://etherscan.io/address/0xe1b583dc66e0a24fd9af2dc665f6f5e48978e106#code

圖一:ERC20Token智能合約構造函數

圖二:onlyIssuer修飾詞

圖三:具有鑄幣方法的issue函數

如圖一所示,項目擁有者在ERC20Token.sol智能合約中的構造函數可以將自身設置為issuer身份。由于在智能合約部署時,其構造函數會被自動執行,因此項目擁有者會自動成為issuer。

通過圖二中顯示的onlyIssuer修飾詞的限制,任意擁有issuer身份的外部調用者將可以執行任意被onlyIssuer修飾詞修飾的函數。

因此,擁有issuer身份的項目擁有者可以執行圖三中具有鑄幣方法的issue函數,從而可以為任意賬戶鑄造任意數目的代幣。

除此之外,該項目還存在一個允許項目擁有者提供代幣獎勵的后門。該后門存在與AwardContract.sol智能合約中。

AwardContract.sol

代碼地址:

https://github.com/MER-DAO/MEE-core/blob/main/contracts/AwardContract.sol

部署地址:

https://etherscan.io/address/0x8Ea43ce113456f45defd0E27e809d719b9CA2362#code

圖四:AwardContract智能合約構造函數

圖五:onlyGovernor修飾詞

圖六:addFreeAward智能合約函數

當AwardContract.sol被項目擁有者部署到區塊鏈上時,AwardContract合約的構造函數會被自動執行,也就意味著圖四中43行代碼被自動執行后,項目擁有者會自動被賦予governor身份。

擁有governor身份的外部調用者可以類似的執行任意被onlyGovernor修飾詞修飾的智能合約函數,例如圖六中所示addFreeAward函數。

由于所有外部調用者都可以通過調用圖七中withdraw函數來將屬于自己的獎勵取出,因此當governor身份的外部調用者為某一個賬戶添加了某一數量的獎勵后,A賬戶可以對該函數進行調用,并通過246行的判斷條件檢查后,通過在281行調用safeIssue()函數來取出被添加的獎勵。

圖7:withdraw智能合約函數

綜上分析,Mercurity.finance項目中智能合約存在的后門漏洞均來自于項目擁有者權限過大。在該類中心化治理機制中,項目擁有者得到了可以隨時獲利或者摧毀項目經濟系統的權利。

CertiK安全研究團隊建議Mercurity.finance更新項目中采用的治理系統,引入社區管理的機制。

CertiK在此提醒廣大用戶:

1.合約代碼需要經過嚴格的安全驗證和審計才可被允許公布。

2.投資者在投資采用中心化治理機制的項目時需衡量風險,謹慎投資。

歡迎搜索微信關注CertiK官方微信公眾號,點擊公眾號底部對話框,留言免費獲取咨詢及報價!??

Tags:區塊鏈ISSACTTRAC區塊鏈是窮人的最后一次機會isstokenPACTDynamic Supply Tracker

AVAX
為什么要進行KYC驗證,如何驗證?_USDT

關鍵詞:KYC驗證、身份認證一、關于KYC驗證的說明 Q:什麼是KYC驗證? A:KYC驗證即“身份認證”,通過身份證件或護照等證件明確用戶的身份信息,證實用戶真實性.

1900/1/1 0:00:00
深度:盡管投資者重新轉向比特幣 但DEX仍然是加密行業的未來_DEX

期待已久的比特幣牛市,以及最近一波企業和機構投資者將其大部分儲備分配給比特幣的所有跡象,都表明加密貨幣的主流化步伐正在加速:但大規模采用的道路是否以隱私和去中心化為代價??KYC和AML法律迫使.

1900/1/1 0:00:00
以太坊464美元緊跟BTC牛途,挖礦囤幣最終會是最佳選擇嗎?_ETH

11月7日,以太坊價格上漲至464美元,而比特幣價格在漲至15900美元左右后回落至15500美元。基于以太坊的強勁勢頭,交易員預計短期內會出現更大的漲勢.

1900/1/1 0:00:00
孫宇晨:區塊鏈技術帶來金融服務的信任變革_RON

近年來伴隨著新技術的出現,創新資源流動加速,對全球的金融體系也帶來了巨大的沖擊。作為科技領域極具挑戰性的創新之一——區塊鏈,憑借其開放性、自治性、匿名性、不可篡改性等特點,帶來了金融的信任變革,

1900/1/1 0:00:00
比特幣穩定10萬 刷新歷史第二高位,云算力挖礦正當時_比特幣

比特幣站穩10萬了,不過不是10萬刀,而是10萬RMB。這一大整數關口的突破,帶來了一次集體狂歡,既有朋友圈刷屏,也有微博熱搜,盡管我知道很多人其實并沒有太多大餅.

1900/1/1 0:00:00
為什么需要去中心化網絡?Web 3.0是如何實現去中心化網絡的?丨AAX學院_VEST

還有誰比你的老朋友谷歌、亞馬遜、Facebook和阿里巴巴更了解你嗎?從你向Alexa詢問的內容到你的通訊信息,再到加密交易或Netflix的偏好–數百萬兆字節的私人數據現在正在不斷被復制.

1900/1/1 0:00:00
ads