CertiK：DeFi项目Walletreum内部操作攻击事件分析

马克思曾在资本论中引用一句名言：“如果有10%的利润,它就保证到处被使用；有20%的利润,它就活跃起来；有50%的利润,它就铤而走险；为了100%的利润,它就敢践踏一切人间法律；有300%的利润,它就敢犯任何罪行,甚至绞首的危险。”对于区块链来说，去中心化是一切的本质，更是区块链世界和生态的标杆。无论是什么形式的去中心化，它的本质实际上指的都是权力从顶层中心化机构到基层个体的下沉。这个下沉趋势随着世界的发展不断的惠及每一个个体。区块链所言的“去中心化”同样是随着经济和科技发展，迎合社会发展本质上的一类。铸币权便是其中之一。这里的铸币权指的是将其下放至专业及安全的团队或个体手中，通过健康的社区治理，达到实现区块链领域愿景的目的。然而如同早年间的铸币行为在传统金融中屡禁不绝，区块链领域内的恶意铸币行为也是无休无止。一个项目其违背去中心化的本质，通过拥有者的极大权限进行恶意铸币，不仅仅损害了项目的良势发展，更是损害了每一位投资者与项目支持者的切身利益。

多链收益聚合器Beluga在Balancer社区发起提案，计划将Beluga列入veBAL名单:4月11日消息，多链收益聚合器Beluga在Balancer社区发起提案，计划将Beluga列入veBAL名单，以启动自己的beBAL保险库。通过Beluga的beBAL保险库，用户将能够锁定他们的80/20BalancerLP以铸造beBAL代币。

此前报道，3月29日，Balancer正式上线veBAL机制，用户可锁定80/20BAL/ETH池的BPT（Balancer资金池的流动性代币凭证）获得veBAL。[2022/4/11 14:16:51]

Olympus DAO计划将5000万美元流动性迁移至Balancer Protocol:1月19日消息，去中心化金融储备协议Olympus DAO已宣布与Balancer Protocol达成合作，根据治理提案显示，Olympus DAO将向Balancer Protocol协议部署5000万美元的流动性。目前Balancer Protocol锁仓量约为32.9亿美元，在DeFiLlama的DEXe排行榜上位列第五。[2022/1/19 8:59:04]

北京时间11月16日，CertiK安全研究团队发现DeFi项目Walletreum被项目团队通过内部操作，恶意铸造5亿个WALT代币。截止11月16日早5时，恶意铸造的代币量已约合近190万人民币。CertiK安全研究团队通过分析其智能合约代码，发现其智能合约代码中心化风险极高，存在安全隐患，项目拥有者拥有权限向任意地址铸造任意数目的代币。完整技术分析如下：攻击详情分析

Balancer前端短时屏蔽YFII流动性挖矿页面，团队已道歉:据YFII社群表示，Balancer前端代码曾短时屏蔽YFII的流动性挖矿页面，代码显示将其定义为「ScamPool（欺诈资金池）」。据了解，该情况不影响资金安全，但充提过程会变得十分繁琐。且屏蔽YFII流动性挖矿页面后，意味着新用户的进入将会变得十分困难。不过截止发稿时，Balancer官方已道歉并重新开发页面。

据社群透露，YFII为中国团队开发项目。由DeFi协议yearn.finance分叉而来，其分叉原因是由yearn.finance社区治理YIP-8提出了增发提案，对每个矿池的每周增发量进行减半。但YIP-8提案因最终参与投票数量不足未获得通过，因此对该提案赞成的社区成员发起了硬分叉，并创建了与YFI基本相同的新项目名为YFII。

Balancer前后端开发主管Timur Badretdinov表示是自己的操作失误导致了YFII池子出现被屏蔽问题，目前已重新开放了YFII的流动性挖矿页面，他对此带来的影响表示抱歉。（BlockBeats）[2020/7/29]

项目拥有者地址：0xa5e552e3d643cc89f3b1ceccfd6f42c5c1aee775

去中心化组织PieDAO发布USD++ Balancer池:在Balancer协议上构建多样化代币池的去中心化组织PieDAO在周二宣布主网发布USD++池。该池将几个与美元挂钩的顶级稳定币组合成一个可交易的代币。USD++池将包含DAI、sUSD、TUSD和USDC。USDC将占USD++池的47%以上，而sUSD权重最低，不到4%。

加权策略旨在为中长期持有者创造低波动性和信任最小化。（Decrypt）[2020/6/18]

图一：内部操作攻击交易信息图一是Walletreum项目中WALTToken智能合约被内部操作，铸造额外5亿个WALT代币的交易信息。该交易哈希值为0xc0f3b0576f18a714d78b822754489d4201c9e36fb0ce4b2f53a93217564710e5。CertiK天网系统(Skynet)检测到区块1126401出现异常交易信息后，立刻向CertiK安全研究团队发出警示。CertiK安全研究团队在对该项目智能合约进行快速分析后，认为该项目为当前一典型的由于智能合约高中心化而导致的攻击。

图二：WALTToken智能合约mint()函数图二为遭受内部操作攻击智能合约中被恶意调用的函数mint()。从666行的代码实现中可以看出，任何拥有minter权限、可以通过onlyMinter修饰符限制的外部调用者均可以调用该函数。该函数的作用是通过667行代码向任意账户铸造任意数目的代币。通过图三中619行onlyMinter修饰符的逻辑实现，以及615行构造函数中给与智能合约部署者minter权限的逻辑实现，智能合约部署者拥有了可以执行图二中mint函数的权限。

图三：onlyMinter修饰符以及给与项目管理者minter权限的构造函数

图四：项目拥有者拥有minter权限查询项目拥有者是否拥有minter权限的结果如图四所示。至此，项目拥有者拥有执行mint函数的权利，最终恶意铸造了5亿个WALT代币，致使项目投资者遭受损失。安全建议

CertiK安全团队通过研究认为，目前大多数DeFi项目中均存在类似于Walletreum项目的风险。该类mint函数以及minter权限的实现表明了当前DeFi项目中项目拥有者权限过大，中心化风险较高。这会导致内部操作等情况的发生完全依赖于项目拥有者个人或者团队的“个人素质”与选择。CertiK团队此前分析过同样存在中心化风险的Mercurity.finance项目，而类似此次Walletreum项目被内部操作攻击的情况以后想必也依旧会发生。在此，CertiK团队发出建议：如要防范此类内部操作，应当注重提高社区治理的程度，并在项目实现上尽可能降低中心化权限，对任意重要操作均需要通过社区投票或者运用Timelock延时限制机制。

标签：BALCERNCEANCEcoballSOCCER币Baby Yoda FinanceXdef Finance

fil币价格今日行情热门资讯