北京時間11月12日,CertiK安全研究團隊發現DeFi項目text.finance智能合約代碼部分存在安全漏洞。
分析之前,先考考大家的眼力,看看下圖里面的文字說了什么。
如果看不清,不妨點擊圖片后把屏幕亮度調至最高。
有的時候,某些不想讓你看到的因素,正是通過排版或者這樣的方式,被刻意隱藏了起來。
接下來說說該項目中存在的兩處漏洞。大家不妨在閱讀文章的時候注意一下圖中的位置。
第一彈:項目擁有者可通過第一處漏洞,將指定數目代幣轉移到任意地址。
第二彈:項目擁有者可通過第二處漏洞,將任意投資者的流動性池中的資產強制轉移到項目擁有者的地址中。
LBank藍貝殼于4月9日16:50首發 BOSON:據官方公告,4月9日16:50,LBank藍貝殼首發BOSON(Boson Protocol),開放USDT交易,4月9日16:00開放充值,4月12日16:00開放提現。上線同一時間開啟充值交易BOSON瓜分10,000 USDT。
LBank藍貝殼于4月9日16:50開啟充值交易BOSON瓜分10,000 USDT。用戶凈充值數量不少于1枚BOSON ,可按凈充值量獲得等值1%的BOSON的USDT空投獎勵;交易賽將根據用戶的BOSON交易量進行排名,前30名可按個人交易量占比瓜分USDT。詳情請點擊官方公告。[2021/4/9 20:02:26]
漏洞分析
《精靈達人3D》正式首發 Cocos-BCX 主網:據官方消息,近日,由生態合伙人 DAPPX 參與開發的《精靈達人3D》正式首發于游戲公鏈 Cocos-BCX 主網。《精靈達人3D》是一款以精靈寶可夢為題材的抓寵游戲,游戲美術采用全3D 制作。用戶可通過 CocosWallet , DAPPX 或 IMCOCOS 登錄 COCOS 主網賬號即可體驗。截至目前,Cocos-BCX 主網已上線《加密騎士團》《惡龍必須死》《XPEX怪獸世界》《Go Block》《可可奪幣》《熊貓運動會》等多款玩法多樣的趣味性鏈游,游戲公鏈生態在逐步壯大和完善。[2020/8/20]
textMiner.sol
首發 | Bithumb將推出與Bithumb Global之間的加密資產轉賬服務:Bithumb內部人士對金色財經透露,Bithumb推出和Bithumb Global之間的加密貨幣資產免手續費快速轉賬服務,每日加密貨幣資產轉賬限額為2枚BTC。此消息將于今日晚間對外公布。據悉,目前僅支持BTC和ETH資產轉賬。[2020/2/26]
部署地址:?
https://etherscan.io/address/0x9858728de38c914c2ea32484a113b6628d984a82#code
1.漏洞一
首發 | 螞蟻礦機S17性能曝光 采用全新散熱技術及全局優化定制方案:金色財經訊,日前,比特大陸即將發布的螞蟻礦機S17性能曝光。據螞蟻礦機S17產品經理朋友圈稱,新品將采用新一代散熱技術及全局優化定制方案。據了解,該散熱技術可能是指芯片的封裝技術,也有可能是機器的散熱結構設計。至于S17產品“全局優化定制”方案未有細節透露。有聲音評價,這或許是為決戰豐水期做出的準備。[2019/3/22]
項目擁有者在textMiner.sol智能合約1000行處實現了withUpdates()函數。該函數的的作用是可以將任意數量的為devaddr地址鑄造任意數量的代幣。而通過查看圖2中devaddr和項目擁有者owner的地址值,可以發現兩者相同,因此項目擁有者可以通過該漏洞為devaddr地址鑄造任意數目代幣。
同時,當前的devaddr地址擁有者可以通過圖3的dev()函數將devaddr地址值更換到另外一個地址,因此最終項目擁有者可以更換將devaddr地址值更換的方法,向任意地址中鑄造任意數目代幣。
雖然項目擁有者將圖1中的withUpdates()函數設置為不允許智能合約外部調用,但是卻有意地在圖4中919行實現了允許被外部調用的add()函數,然后通過921行代碼調用withUpdates()函數,從而實現向devaddr地址鑄造1000000000000000000000000000000數量代幣。
圖1:第1000行中的withUpdates()函數
圖2:devaddr地址以及項目擁有者owner地址
圖3:dev()函數
圖4:add()函數
2.漏洞二
圖5:emergencyWithdraw()函數
項目擁有者可以通過調用圖5中emergencyWithdraw()函數,將某一個特定地址投資者的某一個流動性池中的流動性資產全部取出,并轉移到項目擁有者的地址中。
該emergencyWithdraw()函數是一個基于正確的emergencyWithdraw()函數。因此就算審視合約者不惡意揣測,也很難說項目方不是惡意改寫,并添加了該漏洞。
從下圖6的對比中可以發現,Sushiswap允許投資者通過調用emergencyWithdraw()函數,緊急取出屬于自己的流動性資產,而在text.finance中卻僅允許項目擁有者來調用該函數,同時允許項目擁有者取出屬于任何投資者的流動性資產。
圖6:text.finance和sushiswap項目中emergencyWithdraw()函數實現對比
安全建議
CertiK安全研究團隊認為當投資者在對DeFi項目進行投資時,不僅需要對智能合約常見的代碼有所了解,更需要謹慎地審視具體代碼的實現邏輯。否則極易掉入類似該項目中的惡意漏洞陷阱當中。
對于非技術背景的投資者,更需要了解項目是否經過嚴謹的技術審計。從Text.finance項目的惡意漏洞中可以看出,盲目投資一個沒有經過嚴格審計的項目,或引發極大風險,并造成難以估量的損失。
CertiK是采用形式化驗證工具來證明智能合約可靠性的業內頂尖公司。公司內部審計專家將利用包括形式化驗證在內的多種軟件測試方法,結合一流的白帽黑客團隊提供專業滲透測試,從而確保項目從前端到智能合約整體的安全性。如你的項目需要保障,請發送郵件至或直接后臺留言進行免費咨詢及報價。于此同時,CertiK的新產品預言機及快速掃描,也將為鏈上項目進行實時打分并且出具快速掃描分數。
如果你需要查找某項目的信息及安全分數,請登錄CertiKFoundation官網的CertiKShield頁面進行瀏覽:https://shield.certik.foundation/
尊敬的用戶: 為促進DiBiToken的流動性與實現其長遠價值,DiBiGlobal將把總計7000萬額度的DIBI注入DiBiLaunch交易區,為期一周,正式開啟銷毀即漲交易的序幕.
1900/1/1 0:00:00尊敬的用戶: BiKi余幣寶將于11月17日00:00開啟KLAY鎖倉Staking,預期年化率20%,并現已開啟KLAY/USDT網格交易.
1900/1/1 0:00:00這里是IPFS資訊快車,想進filecoin技術交流群的以及與圈內大佬深入溝通,或者了解更多FIL資訊,深入了解FIL的(+V:FIL101).
1900/1/1 0:00:00隨著億萬富翁比特幣多頭名單的不斷增長,密碼分析師亞歷克斯·克魯格(AlexKrüger)正在分析著名價值投資者、伯克希爾哈撒韋公司(BerkshireHathaway)首席執行官沃倫·巴菲特(W.
1900/1/1 0:00:00鏈聞消息,以太坊經典官方發推稱,隨著「Thanos」的迅速普及。要求所有Besus節點運營商,尤其是那些擁有挖礦或經濟節點的運營商,盡快將其節點客戶端更新為最新版本.
1900/1/1 0:00:00最近加密領域整個行情實在詭異,要說好,三大所頻頻遭遇信任危機,各大交易平臺風聲鶴唳、家家自危,哪里好?要說不好,近期BTC一路漲漲漲,漲得一派牛市景象,漲得讓人心驚肉跳.
1900/1/1 0:00:00