宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > FIL > 正文

首发 | DeFi项目Based智能合约出现漏洞 发生了什么?

作者:

时间:1900/1/1 0:00:00

“亡羊补牢,为时未晚”,这句话在生活中的大部分时候均适用。然而,在面临网络安全时,牢破也许就会造成无法挽回的损失。

在安全问题未造成不可弥补的损失前就被发现,或是一开始便做好万全准备,才是身为区块链从业者的安全第一要义。

北京时间8月14日下午,CertiK安全技术团队发现DeFi匿名耕种项目Based官方宣布有攻击者通过调用Based智能合约中的某一个函数,将一号池(Pool 1)冻结,同时宣布将重新部署其一号池。

LBANK蓝贝壳于3月22日18:00首发 DORA,开放USDT交易:据官方公告,3月22日18:00,LBANK蓝贝壳首发DORA(Dora Factory),开放USDT交易,现已开放充值。

资料显示,Dora Factory 是基于波卡的 DAO 即服务基础设施,基于 Substrate 的开放、可编程的链上治理协议平台,为新一代去中心化组织和开发者提供二次方投票、曲线拍卖、Bounty 激励、跨链资产管理等可插拔的治理功能。同时,开发者可以向这个 DAO 即服务平台提交新的治理模块,并获得持续的激励。[2021/3/22 19:07:06]

官方发布推特称,有黑客试图将“Pool1”永久冻结,但尝试失败。而“Pool1”将继续按计划进行。

首发 | 火币集团全球业务副总裁:监管将决定区块链技术和加密货币的落地速度:1月21日,火币集团全球业务副总裁Ciara Sun在达沃斯世界经济论坛上表示,对区块链和数字货币的监管态度,2019年是重要的一年。在美国,到2019年底,针对加密货币和区块链政策有21项法案,这些法案包括税收问题,监管结构,跟踪功能和ETF批准,哪些联邦机构监管数字资产等。欧盟(EU)在2020年1月10日实施了一项新法律,要求加密货币平台采取更严格的反做法。瑞士,日本,立陶宛,马耳他和墨西哥通过法律,要求交易所必须根据KYC和AML准则获得许可。中国,土耳其,泰国等国家正在计划自己的中央银行数字货币(CBDC)。而监管将决定区块链技术和加密货币的落地速度。[2020/1/22]

CertiK通过分析该智能合约,认为这次冻结Based项目一号池事件,是一次由于存在智能合约漏洞导致的事故。

首发 | 蚂蚁矿机S17真机图首次曝光 采用双筒风扇及一体机设计 ?:继正式宣布在4月9日现货销售后,比特大陆即将发布的新品蚂蚁矿机S17又有了新动态。据悉,蚂蚁矿机S17真机图今天在网上首次曝光。

从曝光的图片来看,蚂蚁矿机S17延续上一代产品S15的双筒风扇设计,且采用一体机的机身设计。有业内人士认为,采用双筒设计可有效缩短风程,矿机出入风口的温差变小,机器性能将得到很大改善。

此前比特大陆产品负责人在接受媒体采访时表示,新品S17较上一代产品相比,无论是在能效比还是单位体积的算力等方面,均有较大提升。[2019/4/3]

公告 | 火币全球站6月29日16:00全球首发 Project PAI:火币全球站定于新加坡时间6月29日16:00 Project PAI (PAI) 充值业务。7月2日16:00在创新区开放PAI/BTC, PAI/ETH交易。7月6日16:00开放 PAI提现业务。[2018/6/29]

Based团队部署一号池智能合约,部署地址为0x77caF750cC58C148D47fD52DdDe43575AA179d1f。

Based官方通过调用智能合约中的renounceOwnership函数来声明智能合约所有者,但未进行智能合约初始化。

由于在Based智能合约中initialize函数被错误的设置为可以被外部调用,因此造成在初始化智能合约过程中,一号池的智能合约被外部攻击者用错误的值初始化。

错误的初始化造成Based官方无法再次初始化一号池的智能合约,因此造成一号池被冻结,任何质押行为都无法完成。

Based官方决定放弃该智能合约,重新部署一号池智能合约。 

1. Based团队在部署智能合约后,没有及时的调用下图的initialize函数来初始化智能合约的设置:

2. 外部调用者利用Based团队在部署和初始化智能合约之间的时间差,乘机调用了下图中671行被错误设置调用范围的initialize函数,抢先初始化了一号池的智能合约:

3. 上图两个initialize函数都是由initializer的修饰符修饰。根据其中代码,如果调用了其中一个initialize函数,另外一个initialize函数就无法被调用。initializer修饰符代码如下图所示,这造成了Based官方失去了初始化函数的机会:

4. 综上因素,Based智能合约无法被官方正确初始化,因此任何质押行为都无法进行。

质押失败的交易记录:

该次事件本质上是由智能合约漏洞导致的,但如果Based团队提早注意到这个漏洞,提前初始化智能合约,可以完全规避这次危险,避免一号池被冻结。因此,CertiK安全技术团队提出如下建议:

部署智能合约时应准备好初始化智能合约所需要的命令脚本等工具,及时初始化智能合约,避免攻击者利用部署操作和初始化操作之间的时间差,抢先初始化或者恶意操纵智能合约。

开发者应精通智能合约的运行原理和技术细节,不要盲目的采用其他的智能合约代码。

可邀请专业的第三方安全团队或内部安全专家对其智能合约进行审计,保证智能合约的安全性和可靠性。

标签:BASEDBASBASEIZEBased Moneycoinbase股票行情coinbase下载钱包长申Polymerize

FIL热门资讯
视频:Tezos的挖矿与比特币有什么不同?

比特币和以太坊在设计共识系统时采用了工作量证明机制(PoW)。PoW区块链依靠挖矿来验证交易并保护网络。但挖矿需要昂贵的硬件和大量的电。据估算,比特币挖矿所用的电相当于希腊整个国家的耗电量.

1900/1/1 0:00:00
高热度下隐忧仍存?杠杆基金再泼市场冷水

8 月 22 日,CFTC 公布了最新一期的 CME 比特币期货周报(8 月 12 日-8 月 18 日),最新统计周期前半段时间 BTC 走出了一波快速反弹,不过在统计周期收尾阶段行情快速回落并回吐了此前的近半数涨幅.

1900/1/1 0:00:00
灰度LTC和BCH信托推出后 再现高溢价

摘要: 本周,两个灰度(Grayscale)信托开始公开交易,一个是莱特币信托,另一个是比特币现金信托;这两个信托产品目前的交易溢价都很高;Arcane Research 就此表示,这是一些散户投资者获得加密货币敞口的唯一途径.

1900/1/1 0:00:00
ETH:客户端多样性为何如此重要

随着 Medalla 测试网上线,官方团队鼓励人们对不同的客户端进行实验。从创世的那一刻起,这么做的重要性便凸显出来:Nimbus 和 Lodestar 节点因无法处理测试网的负载量而卡住??.

1900/1/1 0:00:00
数字人民币将在京津冀等具备条件地区试点

商务部官网14日发布《关于印发全面深化服务贸易创新发展试点总体方案的通知》,其中公布了数字人民币试点地区.

1900/1/1 0:00:00
比特币牛市继续?3个因素表明BTC的价格将维持上涨趋势

自7月1日以来,比特币(BTC)的价格已从9,088美元上涨至11,800美元,涨幅超过30%。顶级加密货币交易所的交易量激增至惊人的3340亿美元.

1900/1/1 0:00:00