CertiK：SushiSwap智能合約漏洞事件分析_NCE

北京時間8月28日，CertiK安全研究團隊發SushiSwap項目智能合約中存在多個安全漏洞。該漏洞可能被智能合約擁有者利用，允許擁有者進行包括將智能合約賬戶內的代幣在沒有授權的情況下取空等操作在內的任意操作。同時該項目智能合約還存在嚴重的重入攻擊漏洞，會導致潛在攻擊者的惡意代碼被執行多次。技術解析

Lido節點運營商Certus One近兩日已累計將400萬枚LDO轉入Binance:7月16日消息，據余燼監測，Lido節點運營商和投資方Certus One兩個小時前將200萬枚LDO（約460萬美元）轉入Binance，近兩日已累計轉入400萬枚，此前Certus One于7月14日凌晨向Binance存入1,999,900枚LDO。[2023/7/16 10:58:06]

ABCDE Capital發布開源并行Sequencer驗證項目paraSequencer:4月8日，據官方消息，ABCDE Capital 發布開源并行 Sequencer 驗證項目 paraSequencer，旨在通過并行處理的方式提高基于 Geth 的 Layer2、ZKRollup、ZKevm 項目 Sequencer 性能。據悉，在目前的 POC 版本中，paraSequencer 可比單線程串行 Sequencer 性能提高 300%-800%。[2023/4/8 13:51:45]

MasterChief.sol:131圖片來源：https://github.com/sushiswap/在SushiSwap項目MasterChief.sol智能合約的131行中，智能合約的擁有者可以有權限來設定上圖中migrator變量的值，該值的設定可以決定由哪一個migrator合約的代碼來進行后面的操作。

Balancer獲得由三箭資本和DeFiance Capital牽頭的500萬美元投資:2月11日消息，DeFi項目方Balancer Labs宣布已獲得由三箭資本(Three Arrows Capital)和DeFiance Capital牽頭的一輪500萬美元投資。兩家風險投資公司現已加入Pantera Capital和Alameda Research進行投資，使Balancer的A輪融資總額達到1200萬美元。（Cointelegraph）[2021/2/11 19:28:51]

MasterChief.sol:136。圖片來源：https://github.com/sushiswap/當migrator的值被確定之后，migrator.migrate(lpToken)也就可以被隨之確定。由migrate的方法是通過IMigratorChef的接口來進行調用的，因此在調用的時候，migrate的方法中的邏輯代碼會根據migrator值的不同而變化。簡而言之，如果智能合約擁有者將migrator的值指向一個包含惡意migrate方法代碼的智能合約，那么該擁有者可以進行任何其想進行的惡意操作，甚至可能取空賬戶內所有的代幣。同時，在上圖142行中migrator.migrate(lpToken)這一行代碼執行結束后，智能合約擁有者也可以利用重入攻擊漏洞，再次重新執行從136行開始的migrate方法或者其他智能合約方法，進行惡意操作。該漏洞的啟示

·智能合約擁有者不應該擁有無限的權利，必須通過社區監管及治理(governance)來限制智能合約擁有者并確保其不會利用自身優勢進行惡意操作。·智能合約代碼需要經過嚴格的安全驗證和檢查之后，才能夠被允許公布。當前SushiSwap項目創建者表示，已將該項目遷移到時間鎖定合約，即任意SushiSwap項目智能合約擁有者的操作會有48小時的延遲鎖定。在此CertiK技術團隊建議大家在智能合約公布前，盡量尋找專業團隊做好審計工作，以免項目出現漏洞造成損失。

Tags：NCECERRATANCRakeBitFinanceDefilancer tokenRATIO價格SANC

PEPE