北京时间8月31日和9月1日,CertiK安全研究团队发现Sushiswap仿盘的两个项目YUNoFinance(YUNO)与KIMCHI.finance(KIMCHI),其智能合约均存在漏洞。如果利用该漏洞,智能合约拥有者可以无限制地增发项目对应的代币数目,导致项目金融进度通胀并最终崩溃。
无限增发漏洞
以Yuno项目中智能合约为例,CertiK安全研究团队对于该无限增发漏洞进行了详细分析,技术细节如下:?
在Yuno项目中的MasterChef.sol智能合约第1354行中,dev方法可以允许当前拥有devaddr身份的智能合约调用者,将devaddr身份转移给另外一个地址。
CZ发布币安关于LUNC税费燃烧“选择性加入”机制说明:9月24日消息,币安CEO赵长鹏(CZ)在官方博客发文宣布,为响应社区呼吁,将对LUNC税费燃烧采取多阶段推进机制:
第1步,为用户添加“选择性加入”(opt-in)按钮,可以选择为LUNC交易支付1.2%的燃烧税费。
第2步,当采取该“选择性加入”的用户占币安的LUNC持有者25%时,将对上述所有选择加入该机制的交易者在交易LUNC时收取1.2%的燃烧税费。
第3步,当执行该“选择性加入”的交易达到币安总LUNC交易量的50%后,将对所有LUNC交易收取1.2%的燃烧税费。
如果第2步的阈值(25%)无法在第1步完成后的一个月内达到,或者在将来回落至该阈值以下,币安将删除此“选择性加入”功能。[2022/9/24 7:17:55]
截图出自:https://etherscan.io/address/0x450f143f1a8650fff968d890814bd5884bdc8f1d#code
动态 | EOS Store关于更新ECAF黑名单状态声明:ECAF发布冻结账号,需要BP将账号及时更新黑名单,防止资产转移。其中一个账户guzdonzugmge的3570个 EOS已经被转走,在Telegram EOS Gov群中出现了针对“Eos Store 更新ECAF黑名单状态”的讨论。IMEOS第一时间从EOS Store得知相关声明:
1. 由于ECAF刚开始运行,沟通体系还未完善,第二批账号的冻结信息并未在BP的电报讨论群、EOSIO的Github、视频会议中通告。加上此前ECAF的虚假信息,EOS Store未能及时更新信息。
2. EosStore坚持做事为保护所有人的公正利益,如果社区或者其他BP在社区内投票一致认为受害者的损失应该由EOS Store承担,EOS Store愿意承担3570 EOS的损失以保护被害人的利益。
3. 考虑到ECAF目前并没有正式的发声渠道,为杜绝类似这样事件再次发生, Eos Store计划发起一个公示软件的开发邀请,希望其他BP加入,保证所有发声及执行的一致性。
关于EOS的治理,需要EOS社区一起参与进来,IMEOS将会持续跟进EOS治理的事情。[2018/6/26]
下图中可以看到在智能合约1282行的mint方法是由修饰器onlyOwner进行限制,修饰器onlyOwner决定了只能是智能合约拥有者来执行这个合约。
gate关于BOT快照问题的处理说明:gate发布公告称,按照官方要求gate将按照 2018年6月1日0:00的用户余额快照为所有BOT用户空投BOE, 为了给用户提供稳定公平的交易环境,预计到快照时间之后会出现剧烈砸盘,引起剧烈市场波动,因此预告会在快照之前关闭市场交易,重新公告开启交易时间。但是因为BOT交易市场延迟了5分钟关闭,造成部分用户抢先抛售和部分用户提前接盘。为了对每一个投资用户公平起见,gate回滚了BOT交易市场 2018年5月31日23:59:59 之后的5分钟数据。如果用户在此次回滚前因为买卖获得盈利,回滚后盈利消失,那么gate.io将补给用户盈利消失部分。[2018/6/1]
以上三截图均出自:https://etherscan.io/address/0x450f143f1a8650fff968d890814bd5884bdc8f1d#code
公告 | 火币全球站6月29日16:00全球首发 Project PAI:火币全球站定于新加坡时间6月29日16:00 Project PAI (PAI) 充值业务。7月2日16:00在创新区开放PAI/BTC, PAI/ETH交易。7月6日16:00开放 PAI提现业务。[2018/6/29]
拥有devaddr身份的调用者,当其身份恰好同时为owner身份的时候,可以通过调用MasterChef.sol智能合约1282行的mint方法,来无限制的增发代币。1282行的mint方法会继续调用1130行的mint方法,并继续由1130行mint方法调用1044行的_mint方法,并最终完成代币增发的操作。
?Kimichi项目智能合约中存在的无限增发漏洞与以上漏洞基本相同,因此在这里不进行重复叙述。
如果owner和devaddr的地址如果相同,那么在外部没有对智能合约拥有者限制的情况下,智能合约拥有者拥有权利增发任意数量的代币,这将会将投资者置于风险之中。那么Yuno和Kimichi这两个项目中的devaddr和owner是否为同一人呢?是否有其他外部制约机制可以限制这两个项目的智能合约拥有者呢?
下图为Yuno项目MasterChef.sol智能合约中拥有devaddr和owner身份的地址。
截图出自:https://etherscan.io/address/0x9dd5b5c71842a4fd51533532e5470298bfa398fd#readContract
下图为Kimichi项目中KimchiChef.sol智能合约中拥有devaddr和owner身份的地址。
截图出自:https://etherscan.io/address/0x9dd5b5c71842a4fd51533532e5470298bfa398fd#readContract
从上两图中可以看到,Yuno项目中拥有devaddr和owner身份的地址为同一个,因此其智能合约拥有者有权利进行无限制的代币增发。而Kimichi项目中拥有devaddr和owner身份不同,但由于devaddr的身份可以进行转移,因此也存在一定的风险。
目前措施
为了确保无限增发漏洞不会被触发,对于Yuno和Kimichi两个项目的智能合约拥有者必须由外部进行限制。当前已经实施的限制条件与Sushiswap项目一致,即对任何由智能合约拥有者进行的智能合约操作,均有48小时的延迟。任何来自智能合约拥有者的操作都会被所有投资者观察到,并有48小时进行应对操作。
CertiK安全团队建议
当前DeFi以及相关Farming项目异常火爆,由于区块链项目对于项目代码公开性有要求,因此上线新项目门槛极低。如果盲目借鉴其他项目,任意漏洞都可能被引入到项目中。因此在项目上线之前,应该对项目进行严格的安全审计。
从投资者角度,当前Farming项目动辄百分之几千的回报率,极易促使投资者在没有对项目本身有足够了解的情况下进行盲目投资。例如SushiSwap,Yuno以及Kimchi三个项目均没有经过严谨的安全验证就快速上线。投资者可能会被巨大的利益回报迷惑,将宝贵资金投入到有极大风险的智能合约中。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。