CertiK安全分析：SushiSwap仿盤 YUNO與KIMCHI智能合約漏洞或存安全隱患_CER:DDR幣

北京時間8月31日和9月1日，CertiK安全研究團隊發現Sushiswap仿盤的兩個項目YUNoFinance(YUNO)與KIMCHI.finance(KIMCHI)，其智能合約均存在漏洞。如果利用該漏洞，智能合約擁有者可以無限制地增發項目對應的代幣數目，導致項目金融進度通脹并最終崩潰。

無限增發漏洞

以Yuno項目中智能合約為例，CertiK安全研究團隊對于該無限增發漏洞進行了詳細分析，技術細節如下：

在Yuno項目中的MasterChef.sol智能合約第1354行中，dev方法可以允許當前擁有devaddr身份的智能合約調用者，將devaddr身份轉移給另外一個地址。

Larry Cermak：Customers Bank等銀行仍為加密行業提供服務:3月13日消息，The Block研究總監Larry Cermak發推稱，為加密貨幣業務提供銀行服務的三家美國銀行被淘汰。不過，Customers Bank、First Foundation Bank、Cross River Bank、Sutton Bank、Evolve Bank & Trust、BankProv、Quontic Bank等銀行仍然提供加密貨幣銀行服務。Larry Cermak表示，自己沒有提到像摩根大通、 紐約梅隆銀行這樣的大銀行，是因為大多數小企業都無法使用這些銀行。[2023/3/13 13:00:38]

截圖出自：

五個CryptoPunks NFT指數基金從Balancer遷移到SushiSwap:2月17日消息，NFT指數基金NFTX表示，CryptoPunks NFT指數基金從Balancer遷移到SushiSwap。NFTX是用于制作由NFT支持的ERC20代幣的平臺。這些代幣被稱為基金（funds），并且（像所有ERC20一樣）是可替代的和可組合的。據悉，CryptoPunk是由Larva Labs團隊創建的10,000個唯一生成的角色，根據基礎NFT的特定特征將總共??5個CryptoPunks NFT基金的流動性轉移到SushiSwap，分別為：PUNK（組合基金）、PUNK-BASIC、PUNK-FEMALE、PUNK-ATTR-4、PUNK-ATTR-5和PUNK-ZOMBIE。[2021/2/17 17:24:02]

https://etherscan.io/address/0x450f143f1a8650fff968d890814bd5884bdc8f1d#code

大麻制造運輸商Ceres正在尋求SEC許可，以銷售5000萬美元代幣:總部位于芝加哥的公司Ceres希望利用美元支持的穩定幣在區塊鏈上為大麻建立一個從種子到銷售的交易網絡，前提是美國證券交易委員會（SEC）批準銷售。根據申請書，Ceres計劃銷售5000萬美元的代幣，其中有兩種代幣，一種等同公司股權的代幣（Token），另一種為Ceres幣（Ceres coin）。申請書中表示，出售股權價值3000萬美元，出售Ceres幣以籌集2000萬美元。Ceres首席運營官Charlie Uchill表示，Ceres尚未發放任何貸款，指望通過數字證券銷售來籌集資金。根據 Investopedia的一份報告，在等待SEC批準其申請的同時，Ceres繼續經營美國日益增長的合法大麻產業，據估計，2019年該產業的規模為136億美元。(Coindesk)[2020/7/9]

下圖中可以看到在智能合約1282行的mint方法是由修飾器onlyOwner進行限制，修飾器onlyOwner決定了只能是智能合約擁有者來執行這個合約。

現場 | Certik CEO Ronghui Gu：形式驗證方法是實現計算機系統安全和隱私的可靠的方法:金色財經現場報道，NEO DevCon 2019開發者大會今日在西雅圖舉行，Certik CEO Ronghui Gu 做了以“建設可信的區塊鏈生態”主題演講。Ronghui Gu 表示，區塊鏈目前是十分脆弱的，有許多執行上的漏洞。攻擊區塊鏈的受益也是巨大的，據統計截止到2017年已經有6.3億美元的區塊鏈資產被黑客盜取。智能合約對黑客開源，一旦執行很難去修改， 我們應該去避免區塊鏈編程上的漏洞。程序的測試可以用于展示漏洞存在，但是它不能夠去顯示漏洞不存在。而形式驗證的方法是目前唯一可靠的方法去實現計算機系統的安全和隱私，形式驗證在數學上證明代碼滿足規范。[2019/2/17]

以上三截圖均出自：https://etherscan.io/address/0x450f143f1a8650fff968d890814bd5884bdc8f1d#code

擁有devaddr身份的調用者，當其身份恰好同時為owner身份的時候，可以通過調用MasterChef.sol智能合約1282行的mint方法，來無限制的增發代幣。1282行的mint方法會繼續調用1130行的mint方法，并繼續由1130行mint方法調用1044行的_mint方法，并最終完成代幣增發的操作。

Kimichi項目智能合約中存在的無限增發漏洞與以上漏洞基本相同，因此在這里不進行重復敘述。

如果owner和devaddr的地址如果相同，那么在外部沒有對智能合約擁有者限制的情況下，智能合約擁有者擁有權利增發任意數量的代幣，這將會將投資者置于風險之中。那么Yuno和Kimichi這兩個項目中的devaddr和owner是否為同一人呢？是否有其他外部制約機制可以限制這兩個項目的智能合約擁有者呢？

下圖為Yuno項目MasterChef.sol智能合約中擁有devaddr和owner身份的地址。

截圖出自：https://etherscan.io/address/0x9dd5b5c71842a4fd51533532e5470298bfa398fd#readContract

下圖為Kimichi項目中KimchiChef.sol智能合約中擁有devaddr和owner身份的地址。

截圖出自：https://etherscan.io/address/0x9dd5b5c71842a4fd51533532e5470298bfa398fd#readContract

從上兩圖中可以看到，Yuno項目中擁有devaddr和owner身份的地址為同一個，因此其智能合約擁有者有權利進行無限制的代幣增發。而Kimichi項目中擁有devaddr和owner身份不同，但由于devaddr的身份可以進行轉移，因此也存在一定的風險。

目前措施

為了確保無限增發漏洞不會被觸發，對于Yuno和Kimichi兩個項目的智能合約擁有者必須由外部進行限制。當前已經實施的限制條件與Sushiswap項目一致，即對任何由智能合約擁有者進行的智能合約操作，均有48小時的延遲。任何來自智能合約擁有者的操作都會被所有投資者觀察到，并有48小時進行應對操作。

CertiK安全團隊建議

當前DeFi以及相關Farming項目異常火爆，由于區塊鏈項目對于項目代碼公開性有要求，因此上線新項目門檻極低。如果盲目借鑒其他項目，任意漏洞都可能被引入到項目中。因此在項目上線之前，應該對項目進行嚴格的安全審計。

從投資者角度，當前Farming項目動輒百分之幾千的回報率，極易促使投資者在沒有對項目本身有足夠了解的情況下進行盲目投資。例如SushiSwap，Yuno以及Kimchi三個項目均沒有經過嚴謹的安全驗證就快速上線。投資者可能會被巨大的利益回報迷惑，將寶貴資金投入到有極大風險的智能合約中。

Tags：CERADDDDRRESCERE幣DADDYFEGDDR幣RES幣

ADA