CertiK：SushiSwap仿盤YUNO與KIMCHI智能合約漏洞或存安全隱患_DEV:DDR

北京時間8月31日和9月1日，CertiK安全研究團隊發現Sushiswap仿盤的兩個項目YUNoFinance(YUNO)與KIMCHI.finance(KIMCHI)，其智能合約均存在漏洞。如果利用該漏洞，智能合約擁有者可以無限制地增發項目對應的代幣數目，導致項目金融進度通脹并最終崩潰。

無限增發漏洞

dHedge社區發起提案DFP-7 建議添加集成Balancer Labs:10月21日消息，去中心化資管協議dHedge社區發起提案DFP-7，建議添加集成Balancer Labs，這將進一步擴大經理可用的資產，同時也開辟新的高收益耕作機會。[2021/10/21 20:46:40]

以Yuno項目中智能合約為例，CertiK安全研究團隊對于該無限增發漏洞進行了詳細分析，技術細節如下：在Yuno項目中的MasterChef.sol智能合約第1354行中，dev方法可以允許當前擁有devaddr身份的智能合約調用者，將devaddr身份轉移給另外一個地址。

DFI.Money（YFII）發起關于如何分配Balancer獎勵提案:9月3日，聚合器項目DFI.Money（YFII）收到首批Balancer（BAL）獎勵，共計BAL 679.83個，價值21,814美元。該獎勵來源于YFII/DAI礦池，后續每周都將收到。關于獎勵如何分配，社區發起提案進行投票：放進循環挖礦池；換成yCRV給投票人激勵參與投票；注入社區基金。[2020/9/8]

截圖出自：https://etherscan.io/下圖中可以看到在智能合約1282行的mint方法是由修飾器onlyOwner進行限制，修飾器onlyOwner決定了只能是智能合約擁有者來執行這個合約。

現場 | Certik CEO Ronghui Gu：形式驗證方法是實現計算機系統安全和隱私的可靠的方法:金色財經現場報道，NEO DevCon 2019開發者大會今日在西雅圖舉行，Certik CEO Ronghui Gu 做了以“建設可信的區塊鏈生態”主題演講。Ronghui Gu 表示，區塊鏈目前是十分脆弱的，有許多執行上的漏洞。攻擊區塊鏈的受益也是巨大的，據統計截止到2017年已經有6.3億美元的區塊鏈資產被黑客盜取。智能合約對黑客開源，一旦執行很難去修改， 我們應該去避免區塊鏈編程上的漏洞。程序的測試可以用于展示漏洞存在，但是它不能夠去顯示漏洞不存在。而形式驗證的方法是目前唯一可靠的方法去實現計算機系統的安全和隱私，形式驗證在數學上證明代碼滿足規范。[2019/2/17]

動態 | 新型勒索病CerBer2019要求受害者支付1比特幣:據騰訊御見威脅情報中心消息，近日監測到一款新型勒索病CerBer2019，該勒索病已有部分企業用戶中招。與其它勒索病不同的是，該病除加密常見文件類型外，還會把其他勒索病(如：WannaCry，Crysis)加密過的文件再次加密。勒索文檔要求受害者24小時內支付1比特幣解密，超過36小時則銷毀文件加密密鑰。[2019/1/24]

以上三截圖均出自：https://etherscan.io/擁有devaddr身份的調用者，當其身份恰好同時為owner身份的時候，可以通過調用MasterChef.sol智能合約1282行的mint方法，來無限制的增發代幣。1282行的mint方法會繼續調用1130行的mint方法，并繼續由1130行mint方法調用1044行的_mint方法，并最終完成代幣增發的操作。Kimichi項目智能合約中存在的無限增發漏洞與以上漏洞基本相同，因此在這里不進行重復敘述。如果owner和devaddr的地址如果相同，那么在外部沒有對智能合約擁有者限制的情況下，智能合約擁有者擁有權利增發任意數量的代幣，這將會將投資者置于風險之中。那么Yuno和Kimichi這兩個項目中的devaddr和owner是否為同一人呢？是否有其他外部制約機制可以限制這兩個項目的智能合約擁有者呢？下圖為Yuno項目MasterChef.sol智能合約中擁有devaddr和owner身份的地址。

截圖出自：https://etherscan.io/下圖為Kimichi項目中KimchiChef.sol智能合約中擁有devaddr和owner身份的地址。

截圖出自：https://etherscan.io/從上兩圖中可以看到，Yuno項目中擁有devaddr和owner身份的地址為同一個，因此其智能合約擁有者有權利進行無限制的代幣增發。而Kimichi項目中擁有devaddr和owner身份不同，但由于devaddr的身份可以進行轉移，因此也存在一定的風險。目前措施

為了確保無限增發漏洞不會被觸發，對于Yuno和Kimichi兩個項目的智能合約擁有者必須由外部進行限制。當前已經實施的限制條件與Sushiswap項目一致，即對任何由智能合約擁有者進行的智能合約操作，均有48小時的延遲。任何來自智能合約擁有者的操作都會被所有投資者觀察到，并有48小時進行應對操作。CertiK安全團隊建議

當前DeFi以及相關Farming項目異常火爆，由于區塊鏈項目對于項目代碼公開性有要求，因此上線新項目門檻極低。如果盲目借鑒其他項目，任意漏洞都可能被引入到項目中。因此在項目上線之前，應該對項目進行嚴格的安全審計。從投資者角度，當前Farming項目動輒百分之幾千的回報率，極易促使投資者在沒有對項目本身有足夠了解的情況下進行盲目投資。例如SushiSwap，Yuno以及Kimchi三個項目均沒有經過嚴謹的安全驗證就快速上線。投資者可能會被巨大的利益回報迷惑，將寶貴資金投入到有極大風險的智能合約中。

Tags：DEVCERDDRVADWeb 3 DevelopmentDSOCCER幣DDR價格vader幣怎么樣

幣安下載