假如川普可以虚假计票：Mercurity.finance智能合约安全漏洞分析

今年美国大选虽说有了广泛意义上的尘埃落定，但竞选结果并未明确。如今拜登团队宣布胜选，美国媒体纷纷宣布拜登当选下届美国总统。而另一方面，川普拒绝接受败选结果，他持续进行计票，并宣称要采取法律行动。造成如今这个混乱结果的首要原因在于美国没有设立独立的对大选事务具有权力的权威性的选举委员会，在默认情况下，是新闻机构承担了这个角色。假如川普获得过大的权力，控制了大多新闻机构，营造虚假选票，结果尚未可知。这就意味着某种程度上，可以说是极尽中心化的“推特治国”后的又一“媒体选举”。从选举，到互联网，到区块链，2020年，中心化不再是权威的体现，而是“独断”、“专权”的代名词。北京时间11月9日，CertiK安全研究团队发现DeFi项目Mercurity.finance智能合约代码部分存在中心化风险。项目拥有者拥有过大权限，可以进行任意数目的铸币，并为给定账户提供任意数目的奖励。技术步骤分析如下：ERC20Token.sol代码地址：https://github.com/MER-DAO/MEE-core/blob/main/contracts/tokens/ERC20Token.sol部署地址：https://etherscan.io/address/0xe1b583dc66e0a24fd9af2dc665f6f5e48978e106#code

一聪明钱地址10小时前出售1.33万亿枚PEPE获得1162枚ETH:5月22日消息，据Lookonchain监测，10小时前，一聪明钱地址以0.000001595美元的价格出售1.33万亿枚PEPE，获得1162枚ETH。此前该地址以1219枚ETH买入这些PEPE，价值220万美元。[2023/5/22 15:18:12]

图一：ERC20Token智能合约构造函数

加密托管公司Prime Trust将从1月31日起暂停在德克萨斯州开展业务:金色财经报道，加密托管公司Prime Trust宣布，自2023年1月31日起，将暂停在德克萨斯州的所有业务。据其网站介绍，该公司为Swan、Abra和Okcoin等加密行业的主要参与者提供托管和其他服务。

Prime Trust三天前通知客户，它撤回了德克萨斯货币转账许可证 (MTL) 申请，这使得该公司没有资格在该州运营，Prime Trust通信高级副总裁Michelle Marin 表示，我们不断更新申请，这是流程的一部分，我们打算迅速重新申请并恢复在德克萨斯州的业务。[2023/1/28 11:33:06]

图二：onlyIssuer修饰词

Web3浏览器Opera将增加对区块链Elrond的支持:9月22日消息，Web3浏览器Opera将把可扩展区块链Elrond集成到其加密浏览器中，允许用户通过其集成的Opera钱包访问网络。Opera Crypto Browser的高级产品经理Danny Yao表示，今年晚些时候，Opera将增加对Elrond的DApp、无需中央管理员运行的区块链应用程序及其原生代币EGLD的支持。（CoinDesk）[2022/9/22 7:14:19]

图三:具有铸币方法的issue函数如图一所示，项目拥有者在ERC20Token.sol智能合约中的构造函数可以将自身设置为issuer身份。由于在智能合约部署时，其构造函数会被自动执行，因此项目拥有者会自动成为issuer。通过图二中显示的onlyIssuer修饰词的限制，任意拥有issuer身份的外部调用者将可以执行任意被onlyIssuer修饰词修饰的函数。因此，拥有issuer身份的项目拥有者可以执行图三中具有铸币方法的issue函数，从而可以为任意账户铸造任意数目的代币。除此之外，该项目还存在一个允许项目拥有者提供代币奖励的后门。该后门存在与AwardContract.sol智能合约中。AwardContract.sol代码地址：https://github.com/MER-DAO/MEE-core/blob/main/contracts/AwardContract.sol部署地址：https://etherscan.io/address/0x8Ea43ce113456f45defd0E27e809d719b9CA2362#code

IOHK：Cardano的Vasil升级进度或将延迟:6月21日消息，Cardano 开发公司 IOHK 发文”Vasil 升级的最新进展”，表示 IOG 工程团队非常接近完成核心工作，只有七个 Bug 仍未完成完成硬分叉工作，目前没有一个被列为“严重”，经过一番考虑，同意今天不将硬分叉更新提案发送到测试网，以便有更多的时间进行测试。此外目前已经完成了大部分（约 95%）的 Plutus V2 测试脚本，但是仍然需要运行一些未完成的项目以确认一切是否按预期工作，已经确定还需要几天的时间，这或使进度落后于之前所沟通的 6 月 29 日主网硬分叉的预定日期。

此前报道，IOHK 的社区和生态系统副总裁 Tim Harrison 称非常接近 Cardano 的 Vasil 硬分叉目标，但需评估 DApp、交易所等的准备情况。[2022/6/21 4:41:54]

加密研究机构 Messari 获得 The Graph 基金会的 1250 万美元开发人员赠款:6月3日消息，加密研究机构 Messari 获得 The Graph 基金会的1250万美元开发人员赠款，Messari 将利用这笔赠款来增加资源，并继续推动其开放数据的使命。[2022/6/3 3:59:59]

图四：AwardContract智能合约构造函数

图五：onlyGovernor修饰词

图六：addFreeAward智能合约函数当AwardContract.sol被项目拥有者部署到区块链上时，AwardContract合约的构造函数会被自动执行，也就意味着图四中43行代码被自动执行后，项目拥有者会自动被赋予governor身份。拥有governor身份的外部调用者可以类似的执行任意被onlyGovernor修饰词修饰的智能合约函数，例如图六中所示addFreeAward函数。由于所有外部调用者都可以通过调用图七中withdraw函数来将属于自己的奖励取出，因此当governor身份的外部调用者为某一个账户添加了某一数量的奖励后，A账户可以对该函数进行调用，并通过246行的判断条件检查后，通过在281行调用safeIssue()函数来取出被添加的奖励。

图七：withdraw智能合约函数综上分析，Mercurity.finance项目中智能合约存在的后门漏洞均来自于项目拥有者权限过大。在该类中心化治理机制中，项目拥有者得到了可以随时获利或者摧毁项目经济系统的权利。CertiK安全研究团队建议Mercurity.finance更新项目中采用的治理系统，引入社区管理的机制。CertiK在此提醒广大用户：1.合约代码需要经过严格的安全验证和审计才可被允许公布。2.投资者在投资采用中心化治理机制的项目时需衡量风险，谨慎投资

标签：ISSWARACTCONSWISSNFTFUNDswarm币简介ACT币Conscious Value Network

波场热门资讯