北京时间8月31日和9月1日,CertiK安全研究团队发现Sushiswap仿盘的两个项目YUNoFinance(YUNO)与KIMCHI.finance(KIMCHI),其智能合约均存在漏洞。如果利用该漏洞,智能合约拥有者可以无限制地增发项目对应的代币数目,导致项目金融进度通胀并最终崩溃。
CertiK:Poly Network攻击者将约440.9枚ETH转至EOA地址:金色财经报道,据CertiK官方推特发布消息称,Poly Network攻击者将约440.9枚ETH转至EOA地址(0x712)。3.88万枚METIS代币也已被转入EOA地址(0x087)。[2023/7/9 22:27:16]
无限增发漏洞
以Yuno项目中智能合约为例,CertiK安全研究团队对于该无限增发漏洞进行了详细分析,技术细节如下:在Yuno项目中的MasterChef.sol智能合约第1354行中,dev方法可以允许当前拥有devaddr身份的智能合约调用者,将devaddr身份转移给另外一个地址。
Swell Network的swETH/ETH池已上线Balancer和Aura Finance:5月9日消息,以太坊质押协议 Swell Network 的 swETH/ETH 流动性池已上线 Balancer 和基于 Balancer 的生态收益治理平台 Aura Finance。[2023/5/9 14:51:26]
截图出自:https://etherscan.io/下图中可以看到在智能合约1282行的mint方法是由修饰器onlyOwner进行限制,修饰器onlyOwner决定了只能是智能合约拥有者来执行这个合约。
CertiK:NEO TOKYO项目Discord服务器遭到攻击:金色财经消息,据CertiK监测,NEO TOKYO项目Discord服务器遭到攻击,并发布了一条钓鱼链接。请社区用户在频道修复之前不要点击任何链接。[2022/12/18 21:52:23]
Balancer增长主管:DeFi将取代大量的传统金融服务:CryptoPotato与Balancer增长主管Jeremy Musighi就2021年的牛市发表了自己的看法。他认为,市场会认识到DeFi将有多大的影响,而且它将继续存在,他认为DeFi带来了进一步的认识和教育,即DeFi是如何取代我们的许多传统金融服务和产品的。此外,他还表示,\"比特币仍然被用作加密货币的主要储备资产\"。(CryptoPotato)[2021/7/5 0:28:55]
以上三截图均出自:https://etherscan.io/拥有devaddr身份的调用者,当其身份恰好同时为owner身份的时候,可以通过调用MasterChef.sol智能合约1282行的mint方法,来无限制的增发代币。1282行的mint方法会继续调用1130行的mint方法,并继续由1130行mint方法调用1044行的_mint方法,并最终完成代币增发的操作。Kimichi项目智能合约中存在的无限增发漏洞与以上漏洞基本相同,因此在这里不进行重复叙述。如果owner和devaddr的地址如果相同,那么在外部没有对智能合约拥有者限制的情况下,智能合约拥有者拥有权利增发任意数量的代币,这将会将投资者置于风险之中。那么Yuno和Kimichi这两个项目中的devaddr和owner是否为同一人呢?是否有其他外部制约机制可以限制这两个项目的智能合约拥有者呢?下图为Yuno项目MasterChef.sol智能合约中拥有devaddr和owner身份的地址。
基于以太坊的DeFi协议Balancer在Algorand上扩展:基于以太坊的DeFi协议Balancer计划在Algorand上扩展。Algorand首席运营官W. Sean Ford表示,一旦在Algorand区块链上启动,Balancer用户将能够与任何Algorand标准资产(ASA)建立流动性池或交易对。(The Block)[2021/4/6 19:52:01]
截图出自:https://etherscan.io/下图为Kimichi项目中KimchiChef.sol智能合约中拥有devaddr和owner身份的地址。
截图出自:https://etherscan.io/从上两图中可以看到,Yuno项目中拥有devaddr和owner身份的地址为同一个,因此其智能合约拥有者有权利进行无限制的代币增发。而Kimichi项目中拥有devaddr和owner身份不同,但由于devaddr的身份可以进行转移,因此也存在一定的风险。目前措施
为了确保无限增发漏洞不会被触发,对于Yuno和Kimichi两个项目的智能合约拥有者必须由外部进行限制。当前已经实施的限制条件与Sushiswap项目一致,即对任何由智能合约拥有者进行的智能合约操作,均有48小时的延迟。任何来自智能合约拥有者的操作都会被所有投资者观察到,并有48小时进行应对操作。CertiK安全团队建议
当前DeFi以及相关Farming项目异常火爆,由于区块链项目对于项目代码公开性有要求,因此上线新项目门槛极低。如果盲目借鉴其他项目,任意漏洞都可能被引入到项目中。因此在项目上线之前,应该对项目进行严格的安全审计。从投资者角度,当前Farming项目动辄百分之几千的回报率,极易促使投资者在没有对项目本身有足够了解的情况下进行盲目投资。例如SushiSwap,Yuno以及Kimchi三个项目均没有经过严谨的安全验证就快速上线。投资者可能会被巨大的利益回报迷惑,将宝贵资金投入到有极大风险的智能合约中。
编者按:本文来自深潮TechFlow,作者:邦尼,Odaily星球日报经授权转载。“币圈大佬的时代已经过去了,现在都流行叫‘科学家’。”一位投资者说。DeFi的火热,除了吸引上百亿资金入场,还造就了一个新职业:科学家.
1900/1/1 0:00:00编者按:本文来自链闻ChainNews,星球日报经授权发布。8月29日,CFTC公布了最新一期的CME比特币期货周报,最新统计周期内BTC出现了近1000美元的大幅回调,前一波反弹取得的涨幅几乎遭到全数回吐,而下跌过程中持续加速的表现.
1900/1/1 0:00:00Odaily星球日报出品作者|王也编辑|郝方舟上周海外明星项目进展中值得关注的有:YAMFinance从YAMv1到YAMv2的迁移已完成;Ampleforth推出弹性AMM.
1900/1/1 0:00:008月28日,「2020新区势·区块链科技金融峰会」在北京举办。本届峰会由火币集团、36kr、Odaily星球日报共同主办,币核科技&霍比特HBTC金牌赞助,链上ChainUP战略赞助,贝宝金融特别赞助,Conflux、BitU.
1900/1/1 0:00:006月初的时候写了篇文章《DEX的竞争将比中心化交易所更加惨烈!》,主要观点是因为可组合性的原因,资金流动会非常顺畅,对于做市资金来说,哪里收益高就会去哪里,而用户端哪里费用低,就会倾向于去哪里.
1900/1/1 0:00:00编者按:本文来自加密谷Live,作者:Edfelten,翻译:李翰博,Odaily星球日报经授权转载。ArbitrumRollup是一个链外协议,由链上Ethereum合约管理.
1900/1/1 0:00:00