“亡羊补牢,为时未晚”,这句话在生活中的大部分时候均适用。然而,在面临网络安全时,牢破也许就会造成无法挽回的损失。在安全问题未造成不可弥补的损失前就被发现,或是一开始便做好万全准备,才是身为区块链从业者的安全第一要义。北京时间8月14日下午,CertiK安全技术团队发现DeFi匿名耕种项目Based官方宣布有攻击者通过调用Based智能合约中的某一个函数,将一号池冻结,同时宣布将重新部署其一号池。官方发布推特称,有黑客试图将“Pool1”永久冻结,但尝试失败。而“Pool1”将继续按计划进行。CertiK通过分析该智能合约,认为这次冻结Based项目一号池事件,是一次由于存在智能合约漏洞导致的事故。
CertiK:某EOA地址将4,000枚ETH转入Tornado Cash:金色财经报道,据CertiK官方推特发布消息称,EOA地址(0xC616... )将4,000枚ETH(约770万美金)转入 Tornado Cash。据悉,该笔资金可追溯至5月AnubisDAO 撤出的流动性。[2023/7/16 10:58:28]
事件经过
Cere Network与Bluzelle达成合作,为Cere提供去中心化数据库:官方消息,波卡生态去中心化数据云平台Cere Network与去中心化数据库服务平台Bluzelle达成合作。Bluzelle将改进Cere目前的数据存储系统,提高Cere的数据灵活性、可扩展性和安全性,并使企业能够以最优化的方式利用Cere生态系统应用程序生态系统。
作为合作伙伴关系的一部分,Bluzelle将加入SaaS-DeFi联盟,该联盟旨在为企业DeFi空间建立通用协议标准,并改善企业与DeFi生态系统之间的通信。SaaS-DeFi联盟的其他成员包括Binance Smart Chain,Elrond,Chainlink,Matic,Reef。[2021/3/31 19:33:02]
Based团队部署一号池智能合约,部署地址为0x77caF750cC58C148D47fD52DdDe43575AA179d1f。Based官方通过调用智能合约中的renounceOwnership函数来声明智能合约所有者,但未进行智能合约初始化。由于在Based智能合约中initialize函数被错误的设置为可以被外部调用,因此造成在初始化智能合约过程中,一号池的智能合约被外部攻击者用错误的值初始化。错误的初始化造成Based官方无法再次初始化一号池的智能合约,因此造成一号池被冻结,任何质押行为都无法完成。Based官方决定放弃该智能合约,重新部署一号池智能合约。智能合约技术细节
正构建PolkaDot数据云平台的Cere Network筹集150万美元:金色财经报道,总部位于旧金山的Cere Network宣布完成第二轮融资,共筹集了150万美元。Cere正在构建PolkaDot的第一个数据云平台,其主网有望在明年第一季度启动。[2020/12/23 16:18:32]
1.Based团队在部署智能合约后,没有及时的调用下图的initialize函数来初始化智能合约的设置:
声音 | 赵长鹏回应Larry Cermak:调整BNB销毁计划与监管无关:赵长鹏发推就The Block分析师Larry Cermak对“币安调整BNB销毁计划,放弃团队BNB份额”的分析做出回应。赵长鹏表示:直到第六条为止都是很棒的思路及数据。认为这与监管有关的假设是完全错误的。从第七条开始就是“危言耸听”(FUD,恐惧、不确定、怀疑)了。(调整计划的)主要原因是不再需要担心团队解锁和抛压,现在这已经不可能了。 据悉,The Block分析师Larry Cermak此前就“币安调整BNB销毁计划,放弃团队BNB份额”展开分析。分析的第七条内容主题为:深信币安作出这项改变是出于监管合规的考虑。[2019/7/13]
2.外部调用者利用Based团队在部署和初始化智能合约之间的时间差,乘机调用了下图中671行被错误设置调用范围的initialize函数,抢先初始化了一号池的智能合约:
3.上图两个initialize函数都是由initializer的修饰符修饰。根据其中代码,如果调用了其中一个initialize函数,另外一个initialize函数就无法被调用。initializer修饰符代码如下图所示,这造成了Based官方失去了初始化函数的机会:
4.综上因素,Based智能合约无法被官方正确初始化,因此任何质押行为都无法进行。质押失败的交易记录:
如何避免事件发生
该次事件本质上是由智能合约漏洞导致的,但如果Based团队提早注意到这个漏洞,提前初始化智能合约,可以完全规避这次危险,避免一号池被冻结。因此,CertiK安全技术团队提出如下建议:部署智能合约时应准备好初始化智能合约所需要的命令脚本等工具,及时初始化智能合约,避免攻击者利用部署操作和初始化操作之间的时间差抢先初始化或者操纵智能合约。了解智能合约的运行原理和技术细节,不要盲目的采用其他的智能合约代码。邀请专业的安全团队对其智能合约进行审计,保证智能合约的安全性和可靠性。我们绝不仅仅是寻找漏洞,而是要消除哪怕只有0.00000000001%被攻击的可能性。
标签:CERBASEBASBASEDAnimal ConcertsBASED币coinbase的特点是Based Gold
上期回顾受DeFi热潮带动,ETH仍处于领涨市场状态,但其他主流币种出现不同程度回调。但当DeFi市场盈利资金回流之后,将推涨主流币种.
1900/1/1 0:00:00区块链技术被誉为继蒸汽机、电力、信息和互联网科技之后,目前最具潜力触发第五轮颠覆性革命浪潮的技术。作为改变世界的高新技术之一,区块链技术众望所归,在2020迎来了它的爆发之年.
1900/1/1 0:00:00今天是周期权交割日,行情十分平稳。今年的市场风格是在交割期间会越发平稳,交易量下降并集中在卖看涨期权。以太连续第三天Call成交占比奇高,可能是市场上现货和期货多单的持有量比较高.
1900/1/1 0:00:00分布式存储听起来可能不是一个最令人着迷的话题,但是竞争协议之间的主导地位之争仍在持续,这可能会对45亿活跃的网络用户产生深远的影响。目前,BitTorrent文件系统与星际文件系统两个实体正在竞争.
1900/1/1 0:00:00编者按:本文来自蓝狐笔记,Odaily星球日报经授权转载。截止到蓝狐笔记写稿时,Uniswap当前的流动性超过2.5亿美元,日交易量接近1.5亿美元,最近7天的交易量接近15亿美元,日交易数超过10万笔,Uniswap已经成长为举足轻.
1900/1/1 0:00:00编者按:本文来自01区块链,Odaily星球日报经授权转载。货币史是人类文明史的重要部分,所以,数千年总是有的。但是,当下人们谈论最多的数字货币,其历史却短之又短,充其量不过十年有余.
1900/1/1 0:00:00