北京時間8月28日,CertiK安全研究團隊發現sushiswap項目智能合約中存在多個安全漏洞,該漏洞可能被智能合約擁有者利用,允許擁有者進行包括將智能合約賬戶內的代幣在沒有授權的情況下取空等操作在內的任意操作。同時該項目智能合約還存在嚴重的重入攻擊漏洞,會導致潛在攻擊者的惡意代碼被執行多次。
技術步驟:
首發 | 百度財報體現區塊鏈 BaaS平臺成為新戰略重點:金色財經報道,2020年2月28日,百度(股票代碼BAIDU)公布財報,其中將區塊鏈BaaS平臺相關的進展進行了單獨敘述,依托于百度智能云的區塊鏈平臺有望成為技術創新方向的新增長引擎。在AI服務上,百度與上海浦東發展銀行達成合作,共建區塊鏈聯盟,在百度區塊鏈服務(BaaS)平臺上實現跨行信息驗證。[2020/2/28]
MasterChief.sol:131 https://github.com/sushiswap/sushiswap/blob/master/contracts/MasterChef.sol
首發 | 螞蟻礦機S17性能曝光 采用全新散熱技術及全局優化定制方案:金色財經訊,日前,比特大陸即將發布的螞蟻礦機S17性能曝光。據螞蟻礦機S17產品經理朋友圈稱,新品將采用新一代散熱技術及全局優化定制方案。據了解,該散熱技術可能是指芯片的封裝技術,也有可能是機器的散熱結構設計。至于S17產品“全局優化定制”方案未有細節透露。有聲音評價,這或許是為決戰豐水期做出的準備。[2019/3/22]
在sushiswap項目智能合約的MasterChief.sol智能合約的131行中,智能合約的擁有者可以有權限來設定上圖中migrator變量的值,該值的設定可以決定由哪一個migrator合約的代碼來進行后面的操作。
公告 | 火幣全球站6月29日16:00全球首發 Project PAI:火幣全球站定于新加坡時間6月29日16:00 Project PAI (PAI) 充值業務。7月2日16:00在創新區開放PAI/BTC, PAI/ETH交易。7月6日16:00開放 PAI提現業務。[2018/6/29]
MasterChief.sol:136 https://github.com/sushiswap/sushiswap/blob/master/contracts/MasterChef.sol
當migrator的值被確定之后,上圖中142行的代碼,migrator.migrate(lpToken)也就被隨之確定,由migrate的方法是通過IMigratorChef的接口來進行調用的,因此在調用的時候,migrate的方法中的邏輯代碼會根據migrator值的不同而變化。
簡而言之,如果智能合約擁有者將migrator的值指向一個包含惡意migrate方法代碼的智能合約,那么該擁有者可以進行任何其想進行的惡意操作,甚至可能取空所有的賬戶內的代幣。
同時,在上圖142行中執行結束migrator.migrate(lpToken)這一行代碼后,智能合約擁有者也可以利用重入攻擊漏洞,再次重新執行從136行開始的migrate方法或者其他智能合約方法,進行惡意操作。
當前sushiswap項目創建者表示已經將該項目加入了時間鎖定(timelock)合約的顯示,即任意sushiswap項目智能合約擁有者的操作會有48小時的延遲鎖定。
該漏洞的啟示:
智能合約擁有者不應該擁有無限的權利,必須通過社區監管(governance)來限制智能合約擁有者并確保其不會利用自身優勢進行惡意操作;
智能合約代碼需要經過嚴格的安全驗證和檢查之后,才能夠被允許公布。
Tags:RATUSHITORHISWAPRatscoinSUSHIBULL幣Girl StoryHiswap Token
來自CryptoComare的報告顯示,8月份加密貨幣衍生品的交易量增長了54%,超過7100億美元。報告認為,以比特幣為代表的加密貨幣在8月份的優異表現推動了加密衍生品市場的繁榮.
1900/1/1 0:00:00金色財經聯合DappBirds獨家發布「DeFi Data」最新數據周榜。據DappBirds DeFi專題數據顯示,上周DEX交易額上漲超過161%,一周交易金額逼近100億美元.
1900/1/1 0:00:00對于以太坊用戶來說,真正的靈魂三問莫過于:我在做什么交易?我該給多少的 Gas?應該把 Gas Price 設成多少才經濟實惠?簡單來說.
1900/1/1 0:00:00藍狐筆記有不少讀者一直在問DeFi保險的事情,尤其是怎么看NXM價值捕獲的問題。今天的主題是,如何看待NXM和它的價值捕獲.
1900/1/1 0:00:00金色財經訊,2020年9月4日,幣圈“9·4事件”迎來3周年。2017年9月4日,中國人民銀行、中央網信辦、工業和信息化部、工商總局、銀監會、證監會、保監會等七部門聯合發布《關于防范代幣發行融資.
1900/1/1 0:00:00現在在全球范圍內出現了一些虛擬銀行。這些虛擬銀行或是按照當地監管的要求, 或是按照自己主動選擇的經營策略,它們不設立物理網點,只是采用技術手段來開展銀行業務.
1900/1/1 0:00:00