比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > MANA > Info

首發 | SushiSwap仿盤 YUNO與KIMCHI智能合約漏洞或存安全隱患_BOS

Author:

Time:1900/1/1 0:00:00

北京時間8月31日和9月1日,CertiK安全研究團隊發現Sushiswap仿盤的兩個項目YUNo Finance (YUNO)與KIMCHI.finance (KIMCHI),其智能合約均存在漏洞。如果利用該漏洞,智能合約擁有者可以無限制地增發項目對應的代幣數目,導致項目金融進度通脹并最終崩潰。

以Yuno項目中智能合約為例,CertiK安全研究團隊對于該無限增發漏洞進行了詳細分析,技術細節如下: 

在Yuno項目中的MasterChef.sol智能合約第1354行中,dev方法可以允許當前擁有devaddr身份的智能合約調用者,將devaddr身份轉移給另外一個地址。

LBank藍貝殼于4月9日16:50首發 BOSON:據官方公告,4月9日16:50,LBank藍貝殼首發BOSON(Boson Protocol),開放USDT交易,4月9日16:00開放充值,4月12日16:00開放提現。上線同一時間開啟充值交易BOSON瓜分10,000 USDT。

LBank藍貝殼于4月9日16:50開啟充值交易BOSON瓜分10,000 USDT。用戶凈充值數量不少于1枚BOSON ,可按凈充值量獲得等值1%的BOSON的USDT空投獎勵;交易賽將根據用戶的BOSON交易量進行排名,前30名可按個人交易量占比瓜分USDT。詳情請點擊官方公告。[2021/4/9 20:02:26]

LBank藍貝殼于4月10日01:00首發 BOSON,開放USDT交易:據官方公告,4月10日01:00,LBank藍貝殼首發BOSON(Boson Protocol),開放USDT交易,4月9日23:00開放充值,4月12日16:00開放提現。上線同一時間開啟充值交易BOSON瓜分10,000 USDT。

LBank藍貝殼于4月10日01:00開啟充值交易BOSON瓜分10,000 USDT。用戶凈充值數量不少于1枚BOSON ,可按凈充值量獲得等值1%的BOSON的USDT獎勵;交易賽將根據用戶的BOSON交易量進行排名,前30名可按個人交易量占比瓜分USDT。詳情請點擊官方公告。[2021/4/7 19:54:33]

截圖出自:https://etherscan.io/address/0x450f143f1a8650fff968d890814bd5884bdc8f1d#code

首發 | Bithumb將推出與Bithumb Global之間的加密資產轉賬服務:Bithumb內部人士對金色財經透露,Bithumb推出和Bithumb Global之間的加密貨幣資產免手續費快速轉賬服務,每日加密貨幣資產轉賬限額為2枚BTC。此消息將于今日晚間對外公布。據悉,目前僅支持BTC和ETH資產轉賬。[2020/2/26]

下圖中可以看到在智能合約1282行的mint方法是由修飾器onlyOwner進行限制,修飾器onlyOwner決定了只能是智能合約擁有者來執行這個合約。

公告 | 火幣全球站6月29日16:00全球首發 Project PAI:火幣全球站定于新加坡時間6月29日16:00 Project PAI (PAI) 充值業務。7月2日16:00在創新區開放PAI/BTC, PAI/ETH交易。7月6日16:00開放 PAI提現業務。[2018/6/29]

以上三截圖均出自:https://etherscan.io/address/0x450f143f1a8650fff968d890814bd5884bdc8f1d#code

擁有devaddr身份的調用者,當其身份恰好同時為owner身份的時候,可以通過調用MasterChef.sol智能合約1282行的mint方法,來無限制的增發代幣。1282行的mint方法會繼續調用1130行的mint方法,并繼續由1130行mint方法調用1044行的_mint方法,并最終完成代幣增發的操作。

 Kimichi項目智能合約中存在的無限增發漏洞與以上漏洞基本相同,因此在這里不進行重復敘述。

如果owner和devaddr的地址如果相同,那么在外部沒有對智能合約擁有者限制的情況下,智能合約擁有者擁有權利增發任意數量的代幣,這將會將投資者置于風險之中。那么Yuno和Kimichi這兩個項目中的devaddr和owner是否為同一人呢?是否有其他外部制約機制可以限制這兩個項目的智能合約擁有者呢?

下圖為Yuno項目MasterChef.sol智能合約中擁有devaddr和owner身份的地址(截止北京時間9月1日晚11點)。

截圖出自:https://etherscan.io/address/0x9dd5b5c71842a4fd51533532e5470298bfa398fd#readContract

下圖為Kimichi項目中KimchiChef.sol智能合約中擁有devaddr和owner身份的地址(截止北京時間9月1日晚11點)。

從上兩圖中可以看到,Yuno項目中擁有devaddr和owner身份的地址為同一個,因此其智能合約擁有者有權利進行無限制的代幣增發。而Kimichi項目中擁有devaddr和owner身份不同,但由于devaddr的身份可以進行轉移,因此也存在一定的風險。

為了確保無限增發漏洞不會被觸發,對于Yuno和Kimichi兩個項目的智能合約擁有者必須由外部進行限制。當前已經實施的限制條件與Sushiswap項目一致,即對任何由智能合約擁有者進行的智能合約操作,均有48小時的延遲。任何來自智能合約擁有者的操作都會被所有投資者觀察到,并有48小時進行應對操作。

當前DeFi以及相關Farming項目異常火爆,由于區塊鏈項目對于項目代碼公開性有要求,因此上線新項目門檻極低。如果盲目借鑒其他項目,任意漏洞都可能被引入到項目中。因此在項目上線之前,應該對項目進行嚴格的安全審計。

從投資者角度,當前Farming項目動輒百分之幾千的回報率,極易促使投資者在沒有對項目本身有足夠了解的情況下進行盲目投資。例如SushiSwap,Yuno以及Kimchi三個項目均沒有經過嚴謹的安全驗證就快速上線。投資者可能會被巨大的利益回報迷惑,將寶貴資金投入到有極大風險的智能合約中。

Tags:SONBOSBOSONADDboson幣v2bos幣最新消息Boson ProtocolPADDY價格

MANA
監管機構:BitMEX因未在安大略省注冊而被限制運營_BitMEX

全球最大的比特幣(BTC)交易平臺之一BitMEX,現已正式被限制在至少兩個加拿大省內運營。根據安大略省證券委員會(OSC)的要求,BitMEX將很快限制來自安大略省的加拿大投資者對其平臺的訪問.

1900/1/1 0:00:00
科銀資本程劍波:礦業需要去壟斷化_OMP

8月22日,“2020全球區塊鏈算力大會暨新基建礦業峰會”在成都市成華區開幕。本次大會聚焦區塊鏈、新基建、數字經濟等行業熱點議題,為從業者提供行業頂級資源的平臺,為企業和地方政府搭建對話的橋梁.

1900/1/1 0:00:00
Filecoin發布最嚴苛挖礦模型 80%礦機廠商可能淘汰_FILE

今年的熱點除了DeFi、波卡,還有令許多投資人愛恨交加的Filecoin挖礦。近期,官方發布了32頁的《Filecoin經濟模型白皮書》初步確定了主網的挖礦經濟模型,其中說了三個關鍵點,一個是懲.

1900/1/1 0:00:00
分析:比特幣投資者持幣不賣 礦工“囤幣居奇”_加密貨幣

據Cryptopotato 8月31日報道,比特幣礦工和投資者放緩出售代幣的速度,“囤貨居奇”氛圍凸顯。我們不得不懷疑,他們是否在等待大牛市的再次來到.

1900/1/1 0:00:00
CertiK CEO顧榮輝:安全審計是高質量DeFi項目的標配_DEFI

過去8個月,DeFi正以快速突擊的態勢發展壯大。截止9月1日,Debank數據顯示,DeFi總鎖倉金額近8個月由7億美元左右上漲至116.14億,約16.3倍;DeFi總市值近8個月由15億美元.

1900/1/1 0:00:00
元界DNA主網HELIX起航 公鏈毫秒級交易時代來臨 爆發在即_DEF

8月5日15:00,由元界DNA總冠名的2020年Finwise紛智云端峰會第3場(國內場)直播在TokenClub及全球各大平臺同步開啟.

1900/1/1 0:00:00
ads