比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > 比特幣 > Info

首發 | SushiSwap仿盤 YUNO與KIMCHI智能合約漏洞或存安全隱患_VAD

Author:

Time:1900/1/1 0:00:00

北京時間8月31日和9月1日,CertiK安全研究團隊發現Sushiswap仿盤的兩個項目YUNo Finance (YUNO)與KIMCHI.finance (KIMCHI),其智能合約均存在漏洞。如果利用該漏洞,智能合約擁有者可以無限制地增發項目對應的代幣數目,導致項目金融進度通脹并最終崩潰。

以Yuno項目中智能合約為例,CertiK安全研究團隊對于該無限增發漏洞進行了詳細分析,技術細節如下: 

在Yuno項目中的MasterChef.sol智能合約第1354行中,dev方法可以允許當前擁有devaddr身份的智能合約調用者,將devaddr身份轉移給另外一個地址。

LBank藍貝殼于4月10日01:00首發 BOSON,開放USDT交易:據官方公告,4月10日01:00,LBank藍貝殼首發BOSON(Boson Protocol),開放USDT交易,4月9日23:00開放充值,4月12日16:00開放提現。上線同一時間開啟充值交易BOSON瓜分10,000 USDT。

LBank藍貝殼于4月10日01:00開啟充值交易BOSON瓜分10,000 USDT。用戶凈充值數量不少于1枚BOSON ,可按凈充值量獲得等值1%的BOSON的USDT獎勵;交易賽將根據用戶的BOSON交易量進行排名,前30名可按個人交易量占比瓜分USDT。詳情請點擊官方公告。[2021/4/7 19:54:33]

首發 | 歐科云鏈推出“天眼方案”推動鏈上安全系統再升級:8月28日,區塊鏈產業集團歐科云鏈宣布推出區塊鏈“天眼方案”,主要通過鏈上數據追蹤系統研發、對外技術支持、凝聚企業眾力等途徑,全面助力區塊鏈安全提升和產業平穩健康發展。

據了解,在“天眼方案”下,歐科云鏈集團將打造鏈上數據追蹤系統,通過溯源數字資產、監控非法交易等手段,全力遏制洗錢等非法行為;協助執法機關辦案,并為打造法務等區塊鏈系統提供技術支持;為聯盟鏈和基于各類業務的鏈上數據提供區塊鏈+大數據的解決方案。[2020/8/28]

截圖出自:https://etherscan.io/address/0x450f143f1a8650fff968d890814bd5884bdc8f1d#code

首發 | Bithumb將推出與Bithumb Global之間的加密資產轉賬服務:Bithumb內部人士對金色財經透露,Bithumb推出和Bithumb Global之間的加密貨幣資產免手續費快速轉賬服務,每日加密貨幣資產轉賬限額為2枚BTC。此消息將于今日晚間對外公布。據悉,目前僅支持BTC和ETH資產轉賬。[2020/2/26]

下圖中可以看到在智能合約1282行的mint方法是由修飾器onlyOwner進行限制,修飾器onlyOwner決定了只能是智能合約擁有者來執行這個合約。

首發 | 此前18000枚BTC轉賬是交易所Bithumb內部整理:北京鏈安鏈上監測系統發現,北京時間10月24日,17:07分發生了一筆18000枚BTC的轉賬,經分析,這實際上是交易所Bithumb的內部整理工作,將大量100到200枚BTC為單位的UTXO打包成了18筆1000枚BTC的UTXO后轉入其內部地址。通常,對各種“面值”的UTXO進行整數級別的整理,屬于交易所的規律性操作。[2019/10/24]

以上三截圖均出自:https://etherscan.io/address/0x450f143f1a8650fff968d890814bd5884bdc8f1d#code

擁有devaddr身份的調用者,當其身份恰好同時為owner身份的時候,可以通過調用MasterChef.sol智能合約1282行的mint方法,來無限制的增發代幣。1282行的mint方法會繼續調用1130行的mint方法,并繼續由1130行mint方法調用1044行的_mint方法,并最終完成代幣增發的操作。

 Kimichi項目智能合約中存在的無限增發漏洞與以上漏洞基本相同,因此在這里不進行重復敘述。

如果owner和devaddr的地址如果相同,那么在外部沒有對智能合約擁有者限制的情況下,智能合約擁有者擁有權利增發任意數量的代幣,這將會將投資者置于風險之中。那么Yuno和Kimichi這兩個項目中的devaddr和owner是否為同一人呢?是否有其他外部制約機制可以限制這兩個項目的智能合約擁有者呢?

下圖為Yuno項目MasterChef.sol智能合約中擁有devaddr和owner身份的地址(截止北京時間9月1日晚11點)。

截圖出自:https://etherscan.io/address/0x9dd5b5c71842a4fd51533532e5470298bfa398fd#readContract

下圖為Kimichi項目中KimchiChef.sol智能合約中擁有devaddr和owner身份的地址(截止北京時間9月1日晚11點)。

從上兩圖中可以看到,Yuno項目中擁有devaddr和owner身份的地址為同一個,因此其智能合約擁有者有權利進行無限制的代幣增發。而Kimichi項目中擁有devaddr和owner身份不同,但由于devaddr的身份可以進行轉移,因此也存在一定的風險。

為了確保無限增發漏洞不會被觸發,對于Yuno和Kimichi兩個項目的智能合約擁有者必須由外部進行限制。當前已經實施的限制條件與Sushiswap項目一致,即對任何由智能合約擁有者進行的智能合約操作,均有48小時的延遲。任何來自智能合約擁有者的操作都會被所有投資者觀察到,并有48小時進行應對操作。

當前DeFi以及相關Farming項目異常火爆,由于區塊鏈項目對于項目代碼公開性有要求,因此上線新項目門檻極低。如果盲目借鑒其他項目,任意漏洞都可能被引入到項目中。因此在項目上線之前,應該對項目進行嚴格的安全審計。

從投資者角度,當前Farming項目動輒百分之幾千的回報率,極易促使投資者在沒有對項目本身有足夠了解的情況下進行盲目投資。例如SushiSwap,Yuno以及Kimchi三個項目均沒有經過嚴謹的安全驗證就快速上線。投資者可能會被巨大的利益回報迷惑,將寶貴資金投入到有極大風險的智能合約中。

Tags:ADDDDRDEVVADDADDYDBDDRT價格devt幣流通怎么這么少DerivaDEX

比特幣
金色趨勢丨BTC近期有望迎來新的上漲行情_ETH

昨日聯動黃金一波上拉下砸再拉升的動作,高倍杠桿爆倉無數,對于這種短線波動較大的行情,做單一定要謹慎,盤面上看,昨日一波下砸最低觸及40日均線便被拉回,接近前期下砸低點位置,插針后快速回升.

1900/1/1 0:00:00
金色觀察|Filecoin的狂想_ECOIN

昨日,Filecoin的大礦工激勵計劃“太空競賽”終于啟動了。從幾個月前的狂熱傳播到今天大礦工終于能確認“真正挖出FIL”,礦工們盼望已久.

1900/1/1 0:00:00
DeFi熱潮之下的新趨勢與投資風險 老韭菜還有機會嗎?_DEF

過去幾個月來,DeFi(去中心化金融)展呈爆炸式增長。根據8月31日的數據統計,DeFi加密資產的價格近4個月來分別平均上漲了42.9%,56%,60.5%和168.4%.

1900/1/1 0:00:00
金色觀察 | Pantera合伙人:自動調整供應量的AMPL是更好的比特幣_MPL

本文作者為Pantera Capital合伙人Paul Veradittakit,授權金色財經翻譯發表。利益相關:Pantera Capital是Ampleforth早期投資者.

1900/1/1 0:00:00
跨鏈挖礦聚合器Farmland的流動性挖礦能參與嗎?_ARM

從Compound 6月15日推出COMP代幣的流動性挖礦以來,DeFi的流動性挖礦成為早期項目引導出流動性的關鍵手段.

1900/1/1 0:00:00
金色觀察丨Santiment研究人員:中小盤DeFi幣或被夸大_EFI

金色財經 區塊鏈8月24日訊? 在過去的一周中,類似Golem、0x、Augur和OMG等這樣的DeFi幣漲幅都在40-120%之間,但與此同時以太坊卻出現暴跌.

1900/1/1 0:00:00
ads