首发 | CertiK:DeFi项目Walletreum内部操作攻击事件分析_CER:区块链证据保全怎么操作视频

马克思曾在资本论中引用一句名言:“如果有10%的利润,它就保证到处被使用;

有20%的利润,它就活跃起来;

有50%的利润,它就铤而走险;

为了100%的利润,它就敢践踏一切人间法律;

有300%的利润,它就敢犯任何罪行,甚至绞首的危险。”

对于区块链来说,去中心化是一切的本质,更是区块链世界和生态的标杆。

无论是什么形式的去中心化,它的本质实际上指的都是权力从顶层中心化机构到基层个体的下沉。

这个下沉趋势随着世界的发展不断的惠及每一个个体。区块链所言的“去中心化”同样是随着经济和科技发展,迎合社会发展本质上的一类。铸币权便是其中之一。

金色晚报 | 12月5日晚间重要动态一览:12:00-21:00关键词:以太坊、数字人民币、欧央行、工程院

1. 以太坊开发者计划将EIP-1559迁移到主网,大多数研究问题已解决;

2. 数字人民币“双离线”功能将在苏州红包试点中首次曝光;

3. 韦氏评级:加密货币将不再是边缘货币;

4. 数据:比特币活跃度创7个月新高,长期持有者正在平仓;

5. CEO Global:因公司核心创始人被有关部门带走调查,暂停币种充提、OTC交易;

6. 欧央行计划在四方面进行数字欧元的准备性试验;

7. 中国工程院院士沈昌祥:区块链安全需要主动免疫可信计算。[2020/12/5 14:08:05]

这里的铸币权指的是将其下放至专业及安全的团队或个体手中,通过健康的社区治理,达到实现区块链领域愿景的目的。

金色晚报 | 9月2日晚间重要动态一览:12:00-21:00关键词:Bithumb、SushiSwap、Filecoin、以太坊Gas费、ETC

1. 韩国加密货币交易所Bithumb因涉嫌欺诈被首尔搜查。

2. ETC计划引入执法部门监管算力出租,防止51%攻击再次发生。

3. SushiSwap新增5大流动性资金池将于9月4日15:00生效。

4. Filecoin工程经济研讨会将于北京时间9月3日上午10点举行

5. OKB最新季度销毁381万枚 价值2100万美元。

6. 哈萨克斯坦计划筹集超7亿美元用于加密货币开采。

7. 数据:以太坊矿工昨日手续费收入1700万美元 刷新历史记录。

8. 数据:三大抵押借贷市场过去24小时清算量13.68万美元。

9. 慢雾余弦:哪怕安全审计过的DeFi都可能存在权限过大风险。[2020/9/2]

然而如同早年间的铸币行为在传统金融中屡禁不绝,区块链领域内的恶意铸币行为也是无休无止。

首发 | 《一起来捉妖》中玩家达到22级将会接触到专属猫的玩法 ?:今日腾讯上线首款区块链游戏《一起来捉妖》,经金色财经查证,游戏中玩家达到22级将会接触到专属猫的玩法,而非此前官方对外宣称的15级。除了诱猫铃铛召唤出的0代猫以及部分通过运营活动奖励的专属猫以外,游戏中所有的猫默认都是未上链状态。未上链的猫不能出售,也无法进入市场与其他玩家配对;但是你可以使用这些猫与你的QQ/微信好友进行配对,产出新的小猫。使用道具“天书笔”可以将你的猫记录到区块链。当猫被记录到区块链以后,这些猫就可以进入市场,通过配对赚取点券,或者出售赚取点券。专属猫是否上链,并不影响它的增益效果。但只有上链后,它才能面对全服务器所有的玩家进行繁殖、交易。

?

《一起来捉妖》中的专属猫玩法,基于腾讯区块链技术,游戏中的虚拟数字资产得到有效保护。此外,基于腾讯区块链技术,猫也可以自由繁殖,并且运用区块链技术存储、永不消失。[2019/4/11]

一个项目其违背去中心化的本质,通过拥有者的极大权限进行恶意铸币,不仅仅损害了项目的良势发展,更是损害了每一位投资者与项目支持者的切身利益。

首发 | 百度推动246家博物馆线上藏品上链:金色财经讯,近日,百度超级链联合百度百科,基于区块链技术创建 “文博艺术链”,推动百科博物馆计划中的246家博物馆线上藏品上链。基于“文博艺术链”,百度将与博物馆共同推动线上藏品版权的确权与维护,同时探索线上藏品版权数字化交易方式,为合作的博物馆提供更全面的服务和更多的权益。据介绍,此项目将分阶段进行,一期将完成线上藏品的入链确权,为每一件藏品生产专属的版权存证证书。让每一名用户可以在百度百科博物馆计划的PC端和WAP端的藏品页查看证书。后续,百度还将推动AI与区块链技术在文博领域的结合应用,用来保障上链数据与藏品相匹配,为后续进行藏品图像版权数字化交易奠定基础。[2019/1/30]

北京时间11月16日,CertiK安全研究团队发现DeFi项目Walletreum被项目团队通过内部操作,恶意铸造5亿个WALT代币。截止11月16日早5时,恶意铸造的代币量已约合近190万人民币。

CertiK安全研究团队通过分析其智能合约代码,发现其智能合约代码中心化风险极高,存在安全隐患,项目拥有者拥有权限向任意地址铸造任意数目的代币。

完整技术分析如下:

攻击详情分析

项目拥有者地址:0xa5e552e3d643cc89f3b1ceccfd6f42c5c1aee775

图一:内部操作攻击交易信息

图一是Walletreum项目中WALTToken智能合约被内部操作,铸造额外5亿个WALT代币的交易信息。

该交易哈希值为0xc0f3b0576f18a714d78b822754489d4201c9e36fb0ce4b2f53a93217564710e5。

CertiK天网系统(Skynet)检测到区块1126401出现异常交易信息后,立刻向CertiK安全研究团队发出警示。

CertiK安全研究团队在对该项目智能合约进行快速分析后,认为该项目为当前一典型的由于智能合约高中心化而导致的攻击。

图二:WALTToken智能合约mint()函数

?图二为遭受内部操作攻击智能合约中被恶意调用的函数mint()。

从666行的代码实现中可以看出,任何拥有minter权限、可以通过onlyMinter修饰符限制的外部调用者均可以调用该函数。

该函数的作用是通过667行代码向任意账户铸造任意数目的代币。

通过图三中619行onlyMinter修饰符的逻辑实现,以及615行构造函数中给与智能合约部署者minter权限的逻辑实现,智能合约部署者拥有了可以执行图二中mint函数的权限。

图三:onlyMinter修饰符以及给与项目管理者minter权限的构造函数

图四:项目拥有者拥有minter权限

查询项目拥有者是否拥有minter权限的结果如图四所示。

至此,项目拥有者拥有执行mint函数的权利,最终恶意铸造了5亿个WALT代币,致使项目投资者遭受损失。

安全建议

CertiK安全团队通过研究认为,目前大多数DeFi项目中均存在类似于Walletreum项目的风险。

该类mint函数以及minter权限的实现表明了当前DeFi项目中项目拥有者权限过大,中心化风险较高。

这会导致内部操作等情况的发生完全依赖于项目拥有者个人或者团队的“个人素质”与选择。

CertiK团队此前分析过同样存在中心化风险的Mercurity.finance项目,而类似此次Walletreum项目被内部操作攻击的情况以后想必也依旧会发生。

在此,CertiK团队发出建议:

如要防范此类内部操作,应当注重提高社区治理的程度,并在项目实现上尽可能降低中心化权限,对任意重要操作均需要通过社区投票或者运用Timelock延时限制机制。

迄今为止,CertiK已为超过200名机构用户提供了优质服务,保护了超过80亿美元的数字资产与软件系统免受安全损失。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

ICP关于保证金调整上调公告_BTC:USD

尊敬的各位BTCC用户,由于近期数字货币市场波动较大,交易产品杠杆倍数有所偏离,为保证正确的交易倍数,为用户创造良好的交易环境,BTCC现对以下产品进行保证金调整.

[0:15ms0-4:248ms