CertiK:SushiSwap仿盘YUNO与KIMCHI智能合约漏洞或存安全隐患_DEV:VAD

北京时间8月31日和9月1日,CertiK安全研究团队发现Sushiswap仿盘的两个项目YUNoFinance(YUNO)与KIMCHI.finance(KIMCHI),其智能合约均存在漏洞。如果利用该漏洞,智能合约拥有者可以无限制地增发项目对应的代币数目,导致项目金融进度通胀并最终崩溃。

无限增发漏洞

以Yuno项目中智能合约为例,CertiK安全研究团队对于该无限增发漏洞进行了详细分析,技术细节如下:在Yuno项目中的MasterChef.sol智能合约第1354行中,dev方法可以允许当前拥有devaddr身份的智能合约调用者,将devaddr身份转移给另外一个地址。

截图出自:https://etherscan.io/下图中可以看到在智能合约1282行的mint方法是由修饰器onlyOwner进行限制,修饰器onlyOwner决定了只能是智能合约拥有者来执行这个合约。

“边玩边赚”NFT游戏Axie Infinity通证AXS市值突破100亿美元:金色财经报道,“边玩边赚”NFT游戏Axie Infinity市值已突破100亿美元,创下历史新高。Axie Infinity游戏通证AXS于11月7日凌晨创下164.90美元的历史最高记录,推动其市值达到105亿美元上方,本文撰写时已下落至102亿美元左右。此外,Axie Infinity交易者总量于11月6日突破100万,同样创下历史最高记录。[2021/11/7 6:36:35]

Axie Infinity昨日收入为1137万美元:8月3日消息,TokenTerminal数据显示,NFT+区块链游戏项目Axie Infinity昨日收入为1137万美元,近7天总收入9529万美元,近30天总收入2.18亿美元,创历史新高。[2021/8/3 1:30:43]

以上三截图均出自:https://etherscan.io/拥有devaddr身份的调用者,当其身份恰好同时为owner身份的时候,可以通过调用MasterChef.sol智能合约1282行的mint方法,来无限制的增发代币。1282行的mint方法会继续调用1130行的mint方法,并继续由1130行mint方法调用1044行的_mint方法,并最终完成代币增发的操作。Kimichi项目智能合约中存在的无限增发漏洞与以上漏洞基本相同,因此在这里不进行重复叙述。如果owner和devaddr的地址如果相同,那么在外部没有对智能合约拥有者限制的情况下,智能合约拥有者拥有权利增发任意数量的代币,这将会将投资者置于风险之中。那么Yuno和Kimichi这两个项目中的devaddr和owner是否为同一人呢?是否有其他外部制约机制可以限制这两个项目的智能合约拥有者呢?下图为Yuno项目MasterChef.sol智能合约中拥有devaddr和owner身份的地址。

现场 | Maximine中国区负责人姚焜华:用智能化管理系统来重构矿业新生态:金色财经现场报道,5月23日,在金色财经主办,贝壳公关承办的金色沙龙第28期成都站上,矿业即将迎来丰水期,当前竞争还是很大的,因为目前看中国挖矿节点至少占了70%左右,可能丰水期来了之后会有很多去年关机的机器全部重新开启,基于此,运维方面将花很大精力。Maximine支持用智能化管理系统来重构矿业新生态。我们前几天也做了矿机运维周期,从我个人来说,2014年进入挖矿行业,一直在坚持,在其中有很大的财务回报,所以也希望不管现在处于大家认为的牛市来了,还是熊市转好的节点,从老矿工角度来说,是很看好挖矿行业的。当然,并不是新矿友进入这个领域就能赚钱的,你个人的经验其实很重要。要知道在哪一个时间节点和行情选择哪一个币种挖矿能够让你的风险最低,回本周期最短。当然,还包括你购买机器选型的安全边界也是要考虑的。[2019/5/23]

截图出自:https://etherscan.io/下图为Kimichi项目中KimchiChef.sol智能合约中拥有devaddr和owner身份的地址。

截图出自:https://etherscan.io/从上两图中可以看到,Yuno项目中拥有devaddr和owner身份的地址为同一个,因此其智能合约拥有者有权利进行无限制的代币增发。而Kimichi项目中拥有devaddr和owner身份不同,但由于devaddr的身份可以进行转移,因此也存在一定的风险。目前措施

为了确保无限增发漏洞不会被触发,对于Yuno和Kimichi两个项目的智能合约拥有者必须由外部进行限制。当前已经实施的限制条件与Sushiswap项目一致,即对任何由智能合约拥有者进行的智能合约操作,均有48小时的延迟。任何来自智能合约拥有者的操作都会被所有投资者观察到,并有48小时进行应对操作。CertiK安全团队建议

当前DeFi以及相关Farming项目异常火爆,由于区块链项目对于项目代码公开性有要求,因此上线新项目门槛极低。如果盲目借鉴其他项目,任意漏洞都可能被引入到项目中。因此在项目上线之前,应该对项目进行严格的安全审计。从投资者角度,当前Farming项目动辄百分之几千的回报率,极易促使投资者在没有对项目本身有足够了解的情况下进行盲目投资。例如SushiSwap,Yuno以及Kimchi三个项目均没有经过严谨的安全验证就快速上线。投资者可能会被巨大的利益回报迷惑,将宝贵资金投入到有极大风险的智能合约中。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

[0:0ms0-3:553ms