北京时间8月31日和9月1日,CertiK安全研究团队发现Sushiswap仿盘的两个项目YUNoFinance(YUNO)与KIMCHI.finance(KIMCHI),其智能合约均存在漏洞。如果利用该漏洞,智能合约拥有者可以无限制地增发项目对应的代币数目,导致项目金融进度通胀并最终崩溃。
无限增发漏洞
以Yuno项目中智能合约为例,CertiK安全研究团队对于该无限增发漏洞进行了详细分析,技术细节如下:
在Yuno项目中的MasterChef.sol智能合约第1354行中,dev方法可以允许当前拥有devaddr身份的智能合约调用者,将devaddr身份转移给另外一个地址。
Larry Cermak:LFG花费30亿美元来捍卫UST锚定但仍以失败告终:5月16日消息,The Block研究副总裁Larry Cermak在推特上表示,总而言之,LFG的储备从一周前的31亿美元变成现在的约8700万美元。这意味着他们花了大约30亿美元来捍卫UST锚定,但UST还是崩溃了。[2022/5/17 3:20:32]
截图出自:
https://etherscan.io/address/0x450f143f1a8650fff968d890814bd5884bdc8f1d#code
下图中可以看到在智能合约1282行的mint方法是由修饰器onlyOwner进行限制,修饰器onlyOwner决定了只能是智能合约拥有者来执行这个合约。
安全审计公司CertiK通过股票发行筹集了近8800万美元:金色财经报道,SEC文件显示,区块链安全审计公司CertiK通过股票发行筹集了近8800万美元。此次发行的首次销售日期为3月23日。此次发行的总金额为87,999,975美元,来自15位投资者,细节未披露。(CoinDesk)[2022/4/1 14:30:14]
以上三截图均出自:https://etherscan.io/address/0x450f143f1a8650fff968d890814bd5884bdc8f1d#code
拥有devaddr身份的调用者,当其身份恰好同时为owner身份的时候,可以通过调用MasterChef.sol智能合约1282行的mint方法,来无限制的增发代币。1282行的mint方法会继续调用1130行的mint方法,并继续由1130行mint方法调用1044行的_mint方法,并最终完成代币增发的操作。
Balancer社区发起关于将BAL分配给AAVE/WETH质押者的投票:据官方推特消息,Balancer社区正发起关于将BAL分配给AAVE/WETH质押者的投票。鉴于安全模块的重要性,Aave需要更多时间将其池迁移到Balancer v2。为了保持池在v2流动性挖矿开始之前每周收到的12,500 BAL的分配,需要授权将BAL分配到v1上的80/20 AAVE/WETH池。[2021/6/19 23:48:54]
Kimichi项目智能合约中存在的无限增发漏洞与以上漏洞基本相同,因此在这里不进行重复叙述。
如果owner和devaddr的地址如果相同,那么在外部没有对智能合约拥有者限制的情况下,智能合约拥有者拥有权利增发任意数量的代币,这将会将投资者置于风险之中。那么Yuno和Kimichi这两个项目中的devaddr和owner是否为同一人呢?是否有其他外部制约机制可以限制这两个项目的智能合约拥有者呢?
动态 | 本体将与形式化验证公司CertiK共筑可信区块链生态:今日,本体宣布与美国形式化验证公司CertiK展开战略合作,双方将通过深度规范技术及时检测到开源代码的安全漏洞,在智能合约发布前确保安全性与可靠性。CertiK的自动化形式化验证能够避免人为检测的思维局限,最大限度上降低智能合约的验证成本,实现低成本与高安全。[2018/7/17]
下图为Yuno项目MasterChef.sol智能合约中拥有devaddr和owner身份的地址。
截图出自:https://etherscan.io/address/0x9dd5b5c71842a4fd51533532e5470298bfa398fd#readContract
下图为Kimichi项目中KimchiChef.sol智能合约中拥有devaddr和owner身份的地址。
截图出自:https://etherscan.io/address/0x9dd5b5c71842a4fd51533532e5470298bfa398fd#readContract
从上两图中可以看到,Yuno项目中拥有devaddr和owner身份的地址为同一个,因此其智能合约拥有者有权利进行无限制的代币增发。而Kimichi项目中拥有devaddr和owner身份不同,但由于devaddr的身份可以进行转移,因此也存在一定的风险。
目前措施
为了确保无限增发漏洞不会被触发,对于Yuno和Kimichi两个项目的智能合约拥有者必须由外部进行限制。当前已经实施的限制条件与Sushiswap项目一致,即对任何由智能合约拥有者进行的智能合约操作,均有48小时的延迟。任何来自智能合约拥有者的操作都会被所有投资者观察到,并有48小时进行应对操作。
CertiK安全团队建议
当前DeFi以及相关Farming项目异常火爆,由于区块链项目对于项目代码公开性有要求,因此上线新项目门槛极低。如果盲目借鉴其他项目,任意漏洞都可能被引入到项目中。因此在项目上线之前,应该对项目进行严格的安全审计。
从投资者角度,当前Farming项目动辄百分之几千的回报率,极易促使投资者在没有对项目本身有足够了解的情况下进行盲目投资。例如SushiSwap,Yuno以及Kimchi三个项目均没有经过严谨的安全验证就快速上线。投资者可能会被巨大的利益回报迷惑,将宝贵资金投入到有极大风险的智能合约中。
今年很多投资者都在说比特币,尤其是微博更是连着上热搜,比特币到底是什么?是怎么发行出来的?跟我们的货币是一种东西吗,今天小编就带着大家一起来讲一下这些问题.
1900/1/1 0:00:00尊敬的用户: BiKi平台即将首发上线CRT,并开放CRT/USDT交易对,详情如下: 1、CRT充值已开放 2、9月2日19:30开放CRT/USDT交易、提现 币种介绍: 项目名称:CarrotFinance 代币简称:CRT 发.
1900/1/1 0:00:00细数DeFi风险和技巧小心引火烧身最近去中心化金融行业里挂起了一阵“美食”封,以食物命名的意面、虾、玉米卷、寿司等DeFi财富游戏越来越风靡.
1900/1/1 0:00:00亲爱的BithumbGlobal用户:BithumbGlobal将在DeFi上线PEARL数字资产服务.
1900/1/1 0:00:00链闻消息,美国司法部宣布暗网市场AlphaBay前调解员BryanConnorHerrell被判处11年有期徒刑.
1900/1/1 0:00:00币安的创始人赵长朋,早期为了买比特币把自己住的房子都卖掉了;火币的创始人李林在13年的还是屌丝的时候,全国路演宣传比特币;包括我国最早的比特币交易所,比特币中国的创始人李启元他们都是比特币的坚定信仰者,手里都握着大量的比特币.
1900/1/1 0:00:00