CertiK：SushiSwap仿盤YUNO與KIMCHI智能合約漏洞或存安全隱患_NCE

北京時間8月31日和9月1日，CertiK安全研究團隊發現Sushiswap仿盤的兩個項目YUNoFinance(YUNO)與KIMCHI.finance(KIMCHI)，其智能合約均存在漏洞。如果利用該漏洞，智能合約擁有者可以無限制地增發項目對應的代幣數目，導致項目金融進度通脹并最終崩潰。

無限增發漏洞

CertiK：確定NoaSwap為詐騙項目SheepSwap同一團隊運作，請用戶保持警惕:4月11日，安全公司CertiK發推表示，已確認NoaSwap由SheepSwap的同一詐騙團隊運作，CertiK提醒用戶保持謹慎，警惕風險。[2021/4/11 20:07:35]

以Yuno項目中智能合約為例，CertiK安全研究團隊對于該無限增發漏洞進行了詳細分析，技術細節如下：在Yuno項目中的MasterChef.sol智能合約第1354行中，dev方法可以允許當前擁有devaddr身份的智能合約調用者，將devaddr身份轉移給另外一個地址。

Balancer回應“計劃在Algorand上擴展”：未參與項目構建，仍致力于推出Balancer V2:基于以太坊的DeFi協議Balancer在推特上就“Balancer計劃在Algorand上擴展”一事回應稱：“我們想要明確的是，Balancer Labs向Algorand發放了5000美元的小額贈款以表支持，但Balancer Labs團隊沒有參與這個項目的開發。我們的注意力只集中在以太坊和即將發布的Balancer V2上。換言之，Balancer Labs并沒有在Algorand上進行任何構建。相反，Reach（由Algorand基金會資助的區塊鏈應用構建解決方案）正努力在Algorand上部署。我們仍在按照計劃推進開發，Balancer Labs繼續致力于推出V2。”此前外媒報道稱Balancer計劃在Algorand上擴展，基于Algorand的Balancer版本將由Algorand基金會資助的區塊鏈應用構建解決方案Reach開發。Algorand首席運營官W. Sean Ford表示，一旦在Algorand區塊鏈上啟動（預計將在2021年第三季度），Balancer用戶將能夠與任何Algorand標準資產（ASA）建立流動性池或交易對。[2021/4/7 19:54:16]

截圖出自：https://etherscan.io/下圖中可以看到在智能合約1282行的mint方法是由修飾器onlyOwner進行限制，修飾器onlyOwner決定了只能是智能合約擁有者來執行這個合約。

新AMPL Geyser將在SushiSwap、Balancer和Uniswap上啟動:Ampleforth宣布新一輪Geyser將在下周啟動，新一輪Geyser共包括3個項目，分別將上線SushiSwap、Balancer和Uniswap，3個Geyser項目共將分配390萬枚AMPL。到目前為止，已經有數千名社區成員參與在Uniswap和Mooniswap上進行的Geyser項目。[2020/11/21 21:35:46]

動態 | NBA籃球運動員Spencer Dinwiddie將繼續推進其合同代幣化的計劃:此前消息，NBA籃球運動員Spencer Dinwiddie有意將其合同代幣化，但遭到NBA拒絕。昨日，Dinwiddie連發多條推文表示，不管NBA意見如何，他都將繼續推進此事。Dinwiddie聲稱他將于10月21日啟動該計劃，也就是在原計劃啟動日期（14日）的一周后，以便給NBA足夠的時間進行回應。Dinwiddie認為，他與NBA之間爭論的焦點是合同條款。NBA引用了Dinwiddie的合同，聲明“任何球員不得將他從球隊獲得補償的權利轉讓或以其他方式轉讓給第三方”。但Dinwiddie堅稱其計劃不構成“轉讓”，因為它沒有賦予他的球迷或代幣持有者籃網隊或整個NBA的權利。（Decrypt）[2019/10/15]

以上三截圖均出自：https://etherscan.io/擁有devaddr身份的調用者，當其身份恰好同時為owner身份的時候，可以通過調用MasterChef.sol智能合約1282行的mint方法，來無限制的增發代幣。1282行的mint方法會繼續調用1130行的mint方法，并繼續由1130行mint方法調用1044行的_mint方法，并最終完成代幣增發的操作。Kimichi項目智能合約中存在的無限增發漏洞與以上漏洞基本相同，因此在這里不進行重復敘述。如果owner和devaddr的地址如果相同，那么在外部沒有對智能合約擁有者限制的情況下，智能合約擁有者擁有權利增發任意數量的代幣，這將會將投資者置于風險之中。那么Yuno和Kimichi這兩個項目中的devaddr和owner是否為同一人呢？是否有其他外部制約機制可以限制這兩個項目的智能合約擁有者呢？下圖為Yuno項目MasterChef.sol智能合約中擁有devaddr和owner身份的地址。

截圖出自：https://etherscan.io/下圖為Kimichi項目中KimchiChef.sol智能合約中擁有devaddr和owner身份的地址。

截圖出自：https://etherscan.io/從上兩圖中可以看到，Yuno項目中擁有devaddr和owner身份的地址為同一個，因此其智能合約擁有者有權利進行無限制的代幣增發。而Kimichi項目中擁有devaddr和owner身份不同，但由于devaddr的身份可以進行轉移，因此也存在一定的風險。目前措施

為了確保無限增發漏洞不會被觸發，對于Yuno和Kimichi兩個項目的智能合約擁有者必須由外部進行限制。當前已經實施的限制條件與Sushiswap項目一致，即對任何由智能合約擁有者進行的智能合約操作，均有48小時的延遲。任何來自智能合約擁有者的操作都會被所有投資者觀察到，并有48小時進行應對操作。CertiK安全團隊建議

當前DeFi以及相關Farming項目異常火爆，由于區塊鏈項目對于項目代碼公開性有要求，因此上線新項目門檻極低。如果盲目借鑒其他項目，任意漏洞都可能被引入到項目中。因此在項目上線之前，應該對項目進行嚴格的安全審計。從投資者角度，當前Farming項目動輒百分之幾千的回報率，極易促使投資者在沒有對項目本身有足夠了解的情況下進行盲目投資。例如SushiSwap，Yuno以及Kimchi三個項目均沒有經過嚴謹的安全驗證就快速上線。投資者可能會被巨大的利益回報迷惑，將寶貴資金投入到有極大風險的智能合約中。

Tags：CERNCEANCLANCSoccerHubCairo Finance1Doge FinanceAvalanche

XRP