北京時間11月12日,CertiK安全研究團隊發現DeFi項目text.finance智能合約代碼部分存在安全漏洞。分析之前,先考考大家的眼力,看看下圖里面的文字說了什么。
如果看不清,不妨點擊圖片后把屏幕亮度調至最高。有的時候,某些不想讓你看到的因素,正是通過排版或者這樣的方式,被刻意隱藏了起來。接下來說說該項目中存在的兩處漏洞。大家不妨在閱讀文章的時候注意一下圖中的位置。第一彈:項目擁有者可通過第一處漏洞,將指定數目代幣轉移到任意地址。第二彈:項目擁有者可通過第二處漏洞,將任意投資者的流動性池中的資產強制轉移到項目擁有者的地址中。漏洞分析
CertiK:Conic Finance再次受到閃電貸攻擊:金色財經報道,據CertiK官方推特發布消息稱,Conic Finance再次受到閃電貸攻擊。截至目前,EOA地址 (0xB636) 以及EOA地址 (0xd050) 已經獲利至少22.3萬美元。[2023/7/22 15:52:04]
textMiner.sol部署地址:https://etherscan.io/address/0x9858728de38c914c2ea32484a113b6628d984a82#code1.漏洞一項目擁有者在textMiner.sol智能合約1000行處實現了withUpdates()函數。該函數的的作用是可以將任意數量的為devaddr地址鑄造任意數量的代幣。而通過查看圖2中devaddr和項目擁有者owner的地址值,可以發現兩者相同,因此項目擁有者可以通過該漏洞為devaddr地址鑄造任意數目代幣。同時,當前的devaddr地址擁有者可以通過圖3的dev()函數將devaddr地址值更換到另外一個地址,因此最終項目擁有者可以更換將devaddr地址值更換的方法,向任意地址中鑄造任意數目代幣。雖然項目擁有者將圖1中的withUpdates()函數設置為不允許智能合約外部調用,但是卻有意地在圖4中919行實現了允許被外部調用的add()函數,然后通過921行代碼調用withUpdates()函數,從而實現向devaddr地址鑄造1000000000000000000000000000000數量代幣。
Cere Network宣布推出去中心化數據即服務Vision 2.0:10月21日消息,去中心化數據云平臺Cere Network宣布推出去中心化數據即服務(DaaS)Vision 2.0,旨在將數據控制權還給用戶和內容創作者,Vision 2.0將支持去中心化數據云(DDC)及其所支持的Cere工具和服務套件,包括Cere去中心化內容交付網絡、NFT鑄造平臺Freeport、Cere通用錢包、Cere NFT市場和內容管理系統(CMS)、Cere去中心化數據查看器(DDV)、以及通用NFT/內容注冊表、Cere實時體驗構建器(RXB)、改進的SDK/加密/解密包、視頻流等。[2022/10/21 16:34:29]
DeFi協議Balancer計劃使用戶獲得更多控制權:Balancer希望其用戶在自定義平臺使用方式方面擁有更多控制權。Balancer協議已向現有池中添加了超過880萬美元的代幣。
Balancer還計劃在未來幾周內發布用于創建私有池的工具,只有創建者可以添加流動性,并且可以調整令牌類型之類的參數。(Decrypt)[2020/6/3]
圖1:第1000行中的withUpdates()函數
圖2:devaddr地址以及項目擁有者owner地址
動態 | 售票平臺Tracer通過區塊鏈技術治理黃牛:近日,網絡售票公司Tracer推出了一種基于區塊鏈的全新“智能售票”系統,以幫助防止票販子通過倒賣票賺錢。他們利用區塊鏈技術,為演出者和活動宣傳人員提供一個追蹤售出門票的平臺,可以決定門票能否再次出售和之后資金的流向。[2018/7/18]
圖3:dev()函數
圖4:add()函數2.漏洞二
圖5:emergencyWithdraw()函數項目擁有者可以通過調用圖5中emergencyWithdraw()函數,將某一個特定地址投資者的某一個流動性池中的流動性資產全部取出,并轉移到項目擁有者的地址中。該emergencyWithdraw()函數是一個基于正確的emergencyWithdraw()函數。因此就算審視合約者不惡意揣測,也很難說項目方不是惡意改寫,并添加了該漏洞。從下圖6的對比中可以發現,Sushiswap允許投資者通過調用emergencyWithdraw()函數,緊急取出屬于自己的流動性資產,而在text.finance中卻僅允許項目擁有者來調用該函數,同時允許項目擁有者取出屬于任何投資者的流動性資產。
圖6:text.finance和sushiswap項目中emergencyWithdraw()函數實現對比安全建議
CertiK安全研究團隊認為當投資者在對DeFi項目進行投資時,不僅需要對智能合約常見的代碼有所了解,更需要謹慎地審視具體代碼的實現邏輯。否則極易掉入類似該項目中的惡意漏洞陷阱當中。對于非技術背景的投資者,更需要了解項目是否經過嚴謹的技術審計。從Text.finance項目的惡意漏洞中可以看出,盲目投資一個沒有經過嚴格審計的項目,或引發極大風險,并造成難以估量的損失。CertiK是采用形式化驗證工具來證明智能合約可靠性的業內頂尖公司。公司內部審計專家將利用包括形式化驗證在內的多種軟件測試方法,結合一流的白帽黑客團隊提供專業滲透測試,從而確保項目從前端到智能合約整體的安全性。如你的項目需要保障,請發送郵件至bd.china@certik.org或直接后臺留言進行免費咨詢及報價。于此同時,CertiK的新產品預言機及快速掃描,也將為鏈上項目進行實時打分并且出具快速掃描分數。如果你需要查找某項目的信息及安全分數,請登錄CertiKFoundation官網的CertiKShield頁面進行瀏覽:https://shield.certik.foundation/歡迎搜索微信關注CertiK官方微信公眾號,點擊公眾號底部對話框,留言免費獲取咨詢及報價!
Tags:CERcertikADDERTExperiencercertik幣價Daddy FEGEverton Fan Token
通過一個腦洞問題,了解加密資產的全景。昨天有朋友提出一個問題:做一個市值為ETH1/3的項目,需要多少錢?這種腦洞題目,我覺得找個麥肯錫的咨詢顧問來回答可能更準確,我說的不是他們的結論準確,而是.
1900/1/1 0:00:00編者按:本文來自區塊律動BlockBeats,作者:BhushanAkolkar,翻譯:0x13,Odaily星球日報經授權轉載.
1900/1/1 0:00:00編者按:本文來自巴比特資訊,作者:Kyle,星球日報經授權發布。重要要點在2012年和2016年舉行的兩次美國大選之后,比特幣的價格都出現了大幅上漲.
1900/1/1 0:00:002020年,流動性挖礦興起后迅速席卷加密貨幣行業,成為2020年DeFi的基石概念,并可能遠遠超出這一范圍。這股熱潮始于Compound,它是第一個在2020年6月啟動這種投資機制的項目.
1900/1/1 0:00:00簡介 技術分析是金融市場分析常用的方法。技術分析可以應用到幾乎所有金融市場,無論是股票市場、外匯市場、黃金市場或加密貨幣市場。技術分析的基本概念淺顯易懂,但卻是一門高深的藝術.
1900/1/1 0:00:00編者按:本文來自肖颯lawyer,作者:肖颯,Odaily星球日報經授權轉載。最近,我們關注了不少幣圈的事件,也接待了不少來自海內外的咨詢,似乎大家對于近期幣圈刑事案件增多有些不解.
1900/1/1 0:00:00