加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads
首頁 > UNI > Info

首發 | CertiK:DeFi項目Walletreum內部操作攻擊事件分析_區塊鏈:MINTI價格

Author:

Time:1900/1/1 0:00:00

馬克思曾在資本論中引用一句名言:“如果有10%的利潤,它就保證到處被使用;

有20%的利潤,它就活躍起來;

有50%的利潤,它就鋌而走險;

為了100%的利潤,它就敢踐踏一切人間法律;

有300%的利潤,它就敢犯任何罪行,甚至絞首的危險。”

對于區塊鏈來說,去中心化是一切的本質,更是區塊鏈世界和生態的標桿。

無論是什么形式的去中心化,它的本質實際上指的都是權力從頂層中心化機構到基層個體的下沉。

這個下沉趨勢隨著世界的發展不斷的惠及每一個個體。區塊鏈所言的“去中心化”同樣是隨著經濟和科技發展,迎合社會發展本質上的一類。鑄幣權便是其中之一。

LBank藍貝殼于5月3日20:00首發 CSPR(Casper),開放USDT交易:據官方公告,5月3日20:00,LBank藍貝殼上線 CSPR(Casper),開放USDT交易,同時并開放充值,資料顯示,Casper網絡是基于CasperCBC規范構建的第一個實時權益證明區塊鏈。Casper旨在加速當今企業和開發人員對區塊鏈技術的采用,同時確保隨著網絡參與者需求的發展,其在未來仍能保持高性能。[2021/5/3 21:19:51]

這里的鑄幣權指的是將其下放至專業及安全的團隊或個體手中,通過健康的社區治理,達到實現區塊鏈領域愿景的目的。

然而如同早年間的鑄幣行為在傳統金融中屢禁不絕,區塊鏈領域內的惡意鑄幣行為也是無休無止。

首發 | 歐科云鏈推出“天眼方案”推動鏈上安全系統再升級:8月28日,區塊鏈產業集團歐科云鏈宣布推出區塊鏈“天眼方案”,主要通過鏈上數據追蹤系統研發、對外技術支持、凝聚企業眾力等途徑,全面助力區塊鏈安全提升和產業平穩健康發展。

據了解,在“天眼方案”下,歐科云鏈集團將打造鏈上數據追蹤系統,通過溯源數字資產、監控非法交易等手段,全力遏制洗錢等非法行為;協助執法機關辦案,并為打造法務等區塊鏈系統提供技術支持;為聯盟鏈和基于各類業務的鏈上數據提供區塊鏈+大數據的解決方案。[2020/8/28]

一個項目其違背去中心化的本質,通過擁有者的極大權限進行惡意鑄幣,不僅僅損害了項目的良勢發展,更是損害了每一位投資者與項目支持者的切身利益。

首發 | 嘉楠耘智宣布與Northern Data在AI、區塊鏈等高性能計算領域達成戰略合作:據官方消息,2020年2月17日,嘉楠耘智宣布與區塊鏈解決方案及數據中心服務提供商Northern Data AG達成戰略合作。本次合作的內容涵蓋AI、區塊鏈及數據中心運維等高性能計算領域。

嘉楠耘智擁有豐富的高性能計算專用ASIC芯片研發經驗。Northern Data AG則專注于區塊鏈和數據中心等高性能計算基礎設施的建設。通過本次戰略合作,雙方將在AI、區塊鏈等新興領域進一步釋放增長潛能。[2020/2/19]

北京時間11月16日,CertiK安全研究團隊發現DeFi項目Walletreum被項目團隊通過內部操作,惡意鑄造5億個WALT代幣。截止11月16日早5時,惡意鑄造的代幣量已約合近190萬人民幣。

IMEOS首發 EOS Go公布新增兩條復選條件 :據金色財經合作伙伴IMEOS報道:今日,EOS Go在 steemit上公布新增的兩條復選條件為:

1. 保證安全的計劃:候選節點是否在steemit上發布文章介紹該節點的安全方法和計劃,“安全方法”標準是向EOS選民展示安全最佳實踐知識和組織實施計劃的機會;

2. 立場:描述該節點分享通脹獎勵和/或向EOS代幣持有人派發股息的立場(候選節點在steemit發布)。主要闡述以下兩個問題:

該組織是否會出于任何原因向EOS令牌選民提供支付,包括BP選舉和社區建議?

該組織是否有書面的無票付款政策?如果是這樣,請提供一個鏈接。[2018/4/27]

CertiK安全研究團隊通過分析其智能合約代碼,發現其智能合約代碼中心化風險極高,存在安全隱患,項目擁有者擁有權限向任意地址鑄造任意數目的代幣。

完整技術分析如下:

攻擊詳情分析

項目擁有者地址:0xa5e552e3d643cc89f3b1ceccfd6f42c5c1aee775

圖一:內部操作攻擊交易信息

圖一是Walletreum項目中WALTToken智能合約被內部操作,鑄造額外5億個WALT代幣的交易信息。

該交易哈希值為0xc0f3b0576f18a714d78b822754489d4201c9e36fb0ce4b2f53a93217564710e5。

CertiK天網系統(Skynet)檢測到區塊1126401出現異常交易信息后,立刻向CertiK安全研究團隊發出警示。

CertiK安全研究團隊在對該項目智能合約進行快速分析后,認為該項目為當前一典型的由于智能合約高中心化而導致的攻擊。

圖二:WALTToken智能合約mint()函數

?圖二為遭受內部操作攻擊智能合約中被惡意調用的函數mint()。

從666行的代碼實現中可以看出,任何擁有minter權限、可以通過onlyMinter修飾符限制的外部調用者均可以調用該函數。

該函數的作用是通過667行代碼向任意賬戶鑄造任意數目的代幣。

通過圖三中619行onlyMinter修飾符的邏輯實現,以及615行構造函數中給與智能合約部署者minter權限的邏輯實現,智能合約部署者擁有了可以執行圖二中mint函數的權限。

圖三:onlyMinter修飾符以及給與項目管理者minter權限的構造函數

圖四:項目擁有者擁有minter權限

查詢項目擁有者是否擁有minter權限的結果如圖四所示。

至此,項目擁有者擁有執行mint函數的權利,最終惡意鑄造了5億個WALT代幣,致使項目投資者遭受損失。

安全建議

CertiK安全團隊通過研究認為,目前大多數DeFi項目中均存在類似于Walletreum項目的風險。

該類mint函數以及minter權限的實現表明了當前DeFi項目中項目擁有者權限過大,中心化風險較高。

這會導致內部操作等情況的發生完全依賴于項目擁有者個人或者團隊的“個人素質”與選擇。

CertiK團隊此前分析過同樣存在中心化風險的Mercurity.finance項目,而類似此次Walletreum項目被內部操作攻擊的情況以后想必也依舊會發生。

在此,CertiK團隊發出建議:

如要防范此類內部操作,應當注重提高社區治理的程度,并在項目實現上盡可能降低中心化權限,對任意重要操作均需要通過社區投票或者運用Timelock延時限制機制。

迄今為止,CertiK已為超過200名機構用戶提供了優質服務,保護了超過80億美元的數字資產與軟件系統免受安全損失。

Tags:區塊鏈INTMINTMIN區塊鏈用大白話解釋MintbaseMINTI價格風暴英雄gemini厲害嗎

UNI
幣汐柔:11.15比特幣以太坊投資五大虧損原因,你深陷其中了嗎?_BLO:LOCK

幣汐柔:11.15比特幣以太坊投資五大虧損原因,你深陷其中了嗎?交易要保持彈性,市場并不是一成不變的漲或跌,針對市場的變化修改你的交易計劃.

1900/1/1 0:00:00
Filecoin挖礦:扇區封裝的意義是什么?現在挖礦是否來得及?_FIL:Filecoin Standard Hashrate Token

Filecoin的挖礦想必對于投資者來說,最頭痛的便是一系列知識難點,做好功課,才是成功的關鍵.

1900/1/1 0:00:00
“Value DeFi遭閃電貸攻擊”系該協議中基于AMM的預言機bug導致_USD:USDJ

據區塊鏈安全公司PeckShield分析,“ValueDeFi遭閃電貸攻擊”是由于該協議中基于AMM的oracle中的一個bug.

1900/1/1 0:00:00
彤欣言幣:11.16比特幣投資技巧之如何判斷抄底加倉?_比特幣:元宇宙投資騙局

當比特幣價格不斷走低的時候投資者也焦急的等待抄底信號,如何判斷行情見底要反轉了?比特幣可不可抄底?這都是投資者密切關注的問題.

1900/1/1 0:00:00
散戶現罕見逆勢調倉,與機構多空博弈再打響 | CFTC COT 比特幣持倉周報_比特幣:FCBTC價格

受上周美國老兵節休假影響,CFTC最新一期的CME比特幣期貨周報推遲至本周一發布,統計周期內BTC再度取得了超1000美元的單周上漲,雖然在一波急漲過后行情一度出現回調.

1900/1/1 0:00:00
關于BTC凈充值第六期活動的公告_BIT:btcc幣空投

尊敬的用戶: 您好,BTC凈充值活動第四期取得了圓滿成功,HKEx.one將舉行第五期活動,詳情如下: 一、活動時間: 活動時間:11月18日-11月25日24:00BitDAO社區關于BIT回.

1900/1/1 0:00:00
ads