首发 | Text.finance智能合约安全漏洞分析

北京时间11月12日,CertiK安全研究团队发现DeFi项目text.finance智能合约代码部分存在安全漏洞。

分析之前,先考考大家的眼力,看看下图里面的文字说了什么。

如果看不清,不妨点击图片后把屏幕亮度调至最高。

有的时候,某些不想让你看到的因素,正是通过排版或者这样的方式,被刻意隐藏了起来。

接下来说说该项目中存在的两处漏洞。大家不妨在阅读文章的时候注意一下图中【function函数】的位置。

第一弹:项目拥有者可通过第一处漏洞,将指定数目代币转移到任意地址。

第二弹:项目拥有者可通过第二处漏洞,将任意投资者的流动性池中的资产强制转移到项目拥有者的地址中。

textMiner.sol

跨链兑换AMM平台EVOdefi 即将上线虎符智能链HSC:据官方消息,跨链兑换平台EVOdefi将于2021年7月26日21时(UTC+8)正式上线虎符智能链HSC,并开启跨链桥接,兑换,NFT进化等。

EVOdefi是一个弹性释放、NFT提升、NFT竞技和跨链代币桥接+交换的跨链AMM,并且目标是发展为所有网络收益农场的跨链交易中心。

虎符智能链HSC是一条中心化高效节能公链,坚持“硬+游戏创新+共技术生态生态”的道路,和开发者共同构建开放共享,共荣的公链2.0生态。[2021/7/25 1:14:21]

部署地址: 

https://etherscan.io/address/0x9858728de38c914c2ea32484a113b6628d984a82#code

1. 漏洞一

项目拥有者在textMiner.sol智能合约1000行处实现了withUpdates()函数。该函数的的作用是可以将任意数量的为devaddr地址铸造任意数量的代币。而通过查看图2中devaddr和项目拥有者owner的地址值,可以发现两者相同,因此项目拥有者可以通过该漏洞为devaddr地址铸造任意数目代币。

金色财经挖矿数据播报 | BTC今日全网算力上涨3.70%:金色财经报道,据蜘蛛矿池数据显示:

BTC全网算力145.023EH/s,挖矿难度19.30T,目前区块高度652638,理论收益0.00000697/T/天。

ETH全网算力265.035TH/s,挖矿难度3335.44T,目前区块高度11050899,理论收益0.00723769/100MH/天。

BSV全网算力1.936EH/s,挖矿难度0.29T,目前区块高度656767,理论收益0.00046493/T/天。

BCH全网算力2.929EH/s,挖矿难度0.41T,目前区块高度657036,理论收益0.00030723/T/天。[2020/10/14]

同时,当前的devaddr地址拥有者可以通过图3的dev()函数将devaddr地址值更换到另外一个地址,因此最终项目拥有者可以更换将devaddr地址值更换的方法,向任意地址中铸造任意数目代币。

虽然项目拥有者将图1中的withUpdates()函数设置为不允许智能合约外部调用,但是却有意地在图4中919行实现了允许被外部调用的add()函数,然后通过921行代码调用withUpdates()函数,从而实现向devaddr地址铸造1000000000000000000000000000000数量代币。

图1:第1000行中的withUpdates()函数

图2:devaddr地址以及项目拥有者owner地址

图3:dev()函数

图4:add()函数

2. 漏洞二

图5:emergencyWithdraw()函数

项目拥有者可以通过调用图5中emergencyWithdraw()函数,将某一个特定地址投资者的某一个流动性池中的流动性资产全部取出,并转移到项目拥有者的地址中。

该emergencyWithdraw()函数是一个基于正确的emergencyWithdraw()函数。因此就算审视合约者不恶意揣测,也很难说项目方不是恶意改写,并添加了该漏洞。

从下图6的对比中可以发现,Sushiswap允许投资者通过调用emergencyWithdraw()函数,紧急取出属于自己的流动性资产,而在text.finance中却仅允许项目拥有者来调用该函数,同时允许项目拥有者取出属于任何投资者的流动性资产。

图6:text.finance和sushiswap项目中emergencyWithdraw()函数实现对比

CertiK安全研究团队认为当投资者在对DeFi项目进行投资时,不仅需要对智能合约常见的代码有所了解,更需要谨慎地审视具体代码的实现逻辑。否则极易掉入类似该项目中的恶意漏洞陷阱当中。

对于非技术背景的投资者,更需要了解项目是否经过严谨的技术审计。从Text.finance项目的恶意漏洞中可以看出,盲目投资一个没有经过严格审计的项目,或引发极大风险,并造成难以估量的损失。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

以太坊交易所11.19早间行情:BTC急拉急跌 下一个机会在这里

昨天行情算得上是过山车行情,变化情况分别是17600、18400、17200、18250、17300,这是从高点和低点之间的不断变化,至少是经历了三波千点的变化,基本上是打的市场毫无还手之力,这种变化应当是很少有投资者会踩准节奏,昨天全网爆仓量超过6亿美金,应当算得上是今年年度前五的单日爆仓量。

SHIBDeFi 积木都有哪些关键组件?从金融角度概述 DeFi 创新

进圈早的朋友,一定还对 17-18 年那个公链漫天飞的时期记忆尤深,对比 TPS 只有 15 的以太坊,似乎每个新兴公链看上去都那么美好,都是「以太坊杀手」。 现如今,老一批「以太坊杀手」已然从人们的记忆中消失殆尽,新一代公链,纷纷以「以太坊朋友」自居,试图找到一条和以往不同的突围之路。

比特币交易所通货膨胀游戏:比特币在价值上可以与法币一较高下 但交易量不足

在流行加密货币的许多支持者中,比特币被视为一种“非常棒的货币”,比特币的有限供应量为2100万枚,以及每秒超过120 亿个哈希的算力来保证其网络安全,行业评论人士之间的共识通常倾向于比特币将成为一个全球超级货币。 比特币问世仅仅10年,其推测价值就已经是全球第11大基础货币。11月初,比特币的流通市值历史上首次超过俄罗斯卢布。

[0:0ms0-9:469ms