北京時間8月31日和9月1日,CertiK安全研究團隊發現Sushiswap仿盤的兩個項目YUNoFinance(YUNO)與KIMCHI.finance(KIMCHI),其智能合約均存在漏洞。如果利用該漏洞,智能合約擁有者可以無限制地增發項目對應的代幣數目,導致項目金融進度通脹并最終崩潰。
無限增發漏洞
以Yuno項目中智能合約為例,CertiK安全研究團隊對于該無限增發漏洞進行了詳細分析,技術細節如下:?
在Yuno項目中的MasterChef.sol智能合約第1354行中,dev方法可以允許當前擁有devaddr身份的智能合約調用者,將devaddr身份轉移給另外一個地址。
首發 | 劉堯:百度區塊鏈推出天鏈平臺賦能鏈上業務:12月20日,由CSDN主辦的“2019中國區塊鏈開發者大會”12月20日在北京舉行。百度智能云區塊鏈產品負責人劉堯以《企業區塊鏈賦能產業創新落地》為主題進行了演講,他指出:2020年將是區塊鏈企業落地的元年,為了支持中國區塊鏈的產業落地,百度將區塊鏈進行平臺化戰略升級,依托百度智能云推出天鏈平臺,就是要賦能360行的鏈上業務創新落地。[2019/12/20]
截圖出自:https://etherscan.io/address/0x450f143f1a8650fff968d890814bd5884bdc8f1d#code
首發 | 此前18000枚BTC轉賬是交易所Bithumb內部整理:北京鏈安鏈上監測系統發現,北京時間10月24日,17:07分發生了一筆18000枚BTC的轉賬,經分析,這實際上是交易所Bithumb的內部整理工作,將大量100到200枚BTC為單位的UTXO打包成了18筆1000枚BTC的UTXO后轉入其內部地址。通常,對各種“面值”的UTXO進行整數級別的整理,屬于交易所的規律性操作。[2019/10/24]
下圖中可以看到在智能合約1282行的mint方法是由修飾器onlyOwner進行限制,修飾器onlyOwner決定了只能是智能合約擁有者來執行這個合約。
首發 | 螞蟻礦機S17真機圖首次曝光 采用雙筒風扇及一體機設計 ?:繼正式宣布在4月9日現貨銷售后,比特大陸即將發布的新品螞蟻礦機S17又有了新動態。據悉,螞蟻礦機S17真機圖今天在網上首次曝光。
從曝光的圖片來看,螞蟻礦機S17延續上一代產品S15的雙筒風扇設計,且采用一體機的機身設計。有業內人士認為,采用雙筒設計可有效縮短風程,礦機出入風口的溫差變小,機器性能將得到很大改善。
此前比特大陸產品負責人在接受媒體采訪時表示,新品S17較上一代產品相比,無論是在能效比還是單位體積的算力等方面,均有較大提升。[2019/4/3]
以上三截圖均出自:https://etherscan.io/address/0x450f143f1a8650fff968d890814bd5884bdc8f1d#code
IMEOS首發 BM表示EOS合約具有整數溢出保護:據金色財經合作媒體IMEOS報道:近日ETH出現多個ERC20智能合約的處理溢出錯誤,BM在推特上發表評論:新的ETH契約Bug可能會破壞整個Token的供應,讓持有者留下無價值Token.這就算為什么代碼不能成為法律,隨即表示EOS erc合約不容易受到這種攻擊。而EOS官方群也有人表示擔憂EOS是否具有整數溢出保護?BM回應:有很多C ++模板類可以封裝類型并檢查溢出。[2018/4/25]
擁有devaddr身份的調用者,當其身份恰好同時為owner身份的時候,可以通過調用MasterChef.sol智能合約1282行的mint方法,來無限制的增發代幣。1282行的mint方法會繼續調用1130行的mint方法,并繼續由1130行mint方法調用1044行的_mint方法,并最終完成代幣增發的操作。
?Kimichi項目智能合約中存在的無限增發漏洞與以上漏洞基本相同,因此在這里不進行重復敘述。
如果owner和devaddr的地址如果相同,那么在外部沒有對智能合約擁有者限制的情況下,智能合約擁有者擁有權利增發任意數量的代幣,這將會將投資者置于風險之中。那么Yuno和Kimichi這兩個項目中的devaddr和owner是否為同一人呢?是否有其他外部制約機制可以限制這兩個項目的智能合約擁有者呢?
下圖為Yuno項目MasterChef.sol智能合約中擁有devaddr和owner身份的地址。
截圖出自:https://etherscan.io/address/0x9dd5b5c71842a4fd51533532e5470298bfa398fd#readContract
下圖為Kimichi項目中KimchiChef.sol智能合約中擁有devaddr和owner身份的地址。
截圖出自:https://etherscan.io/address/0x9dd5b5c71842a4fd51533532e5470298bfa398fd#readContract
從上兩圖中可以看到,Yuno項目中擁有devaddr和owner身份的地址為同一個,因此其智能合約擁有者有權利進行無限制的代幣增發。而Kimichi項目中擁有devaddr和owner身份不同,但由于devaddr的身份可以進行轉移,因此也存在一定的風險。
目前措施
為了確保無限增發漏洞不會被觸發,對于Yuno和Kimichi兩個項目的智能合約擁有者必須由外部進行限制。當前已經實施的限制條件與Sushiswap項目一致,即對任何由智能合約擁有者進行的智能合約操作,均有48小時的延遲。任何來自智能合約擁有者的操作都會被所有投資者觀察到,并有48小時進行應對操作。
CertiK安全團隊建議
當前DeFi以及相關Farming項目異常火爆,由于區塊鏈項目對于項目代碼公開性有要求,因此上線新項目門檻極低。如果盲目借鑒其他項目,任意漏洞都可能被引入到項目中。因此在項目上線之前,應該對項目進行嚴格的安全審計。
從投資者角度,當前Farming項目動輒百分之幾千的回報率,極易促使投資者在沒有對項目本身有足夠了解的情況下進行盲目投資。例如SushiSwap,Yuno以及Kimchi三個項目均沒有經過嚴謹的安全驗證就快速上線。投資者可能會被巨大的利益回報迷惑,將寶貴資金投入到有極大風險的智能合約中。
宙斯資本對Chainlink的世界末日預測已經加倍。現在警告投資者:“不要上當……在為時已晚之前退出頭寸。”資產管理公司的參與評估是在過去幾周內Link價格急劇下跌之后.
1900/1/1 0:00:00昨日行情最低跌至11800一線,后又繼續高位震蕩,傍晚的11930空單再11805一線離場后就沒有再操作,一直再觀察走勢,面對變化快且到了變盤的時間窗口上,是要穩健至上,穩扎穩打,不怕錯過.
1900/1/1 0:00:00親愛的BKEXer:? ?? 今日數據:2020年8月31日DeFi挖礦寶日收益率為0.1403%,年化收益率51.21%,收益幣種為CRV(Curve).
1900/1/1 0:00:00Bitget全球用戶: Bitget已上線TRX/USDT正向合約,您可在PC端或APP體驗使用.
1900/1/1 0:00:00親愛的用戶: BigONE現已開啟TRX「DeFi機槍池挖礦產品」募集。詳情如下:TRXDeFi機槍池參與入口:https://www.bigonechina.com/cn/coffer/pos.
1900/1/1 0:00:00北京時間8月31日,嘉楠科技(“CanaanInc.”或“公司”)公布了公司2020年第二季度合并報表后的財務數據,公司當季總凈收入達1.781億元人民幣,環比增長160.9%.
1900/1/1 0:00:00