首发 | Sushiswap智能合约安全漏洞事件分析_RAT:HISWAP

北京时间8月28日,CertiK安全研究团队发现sushiswap项目智能合约中存在多个安全漏洞,该漏洞可能被智能合约拥有者利用,允许拥有者进行包括将智能合约账户内的代币在没有授权的情况下取空等操作在内的任意操作。同时该项目智能合约还存在严重的重入攻击漏洞,会导致潜在攻击者的恶意代码被执行多次。

技术步骤:

MasterChief.sol:131https://github.com/sushiswap/sushiswap/blob/master/contracts/MasterChef.sol

首发 | 区块链技术及软件安全实战基地正式成立:金色财经报道,今日,中软协区块链分会、人民大学、菏泽市局相关部门联合共建的区块链技术及软件安全实战基地正式成立。同时聘任中软协区块链分会副秘书长宋爱陆为区块链技术及软件安全实战基地特别专家。

区块链技术及软件安全实战基地主要涉及领域为:非法数字货币交易与、区块链与电信、网络、四方支付、冒用商标注册等,联合社会治理、城市安全、前沿技术领域的行业专家,进行警协合作。

据公开报道,近期菏泽市下属机关刚破获一起特大电信网络案,打掉多个涉嫌以网贷和投资“比特币”为名的团伙,抓获犯罪嫌疑人83名,扣押冻结涉案资金2700万元。[2020/7/21]

在sushiswap项目智能合约的MasterChief.sol智能合约的131行中,智能合约的拥有者可以有权限来设定上图中migrator变量的值,该值的设定可以决定由哪一个migrator合约的代码来进行后面的操作。

首发 | DVP: Bitstamp交易所存在漏洞 可导致大量KYC等信息被泄露:金色财经讯,近日,DVP收到安全人员提交的全球知名交易所Bitstamp的漏洞,攻击者可以利用该漏洞查看大量用户ID、银行卡等敏感信息,严重威胁用户信息安全。为避免发生KYC泄露的恶性事件,DVP安全团队在收到该漏洞后,第一时间通知该平台进行修复,但未收到回应。DVP提醒相关用户关注个人信息安全,以免造成损失。[2019/8/13]

MasterChief.sol:136https://github.com/sushiswap/sushiswap/blob/master/contracts/MasterChef.sol

首发 | 蚂蚁矿机S17真机图首次曝光 采用双筒风扇及一体机设计 ?:继正式宣布在4月9日现货销售后,比特大陆即将发布的新品蚂蚁矿机S17又有了新动态。据悉,蚂蚁矿机S17真机图今天在网上首次曝光。

从曝光的图片来看,蚂蚁矿机S17延续上一代产品S15的双筒风扇设计,且采用一体机的机身设计。有业内人士认为,采用双筒设计可有效缩短风程,矿机出入风口的温差变小,机器性能将得到很大改善。

此前比特大陆产品负责人在接受媒体采访时表示,新品S17较上一代产品相比,无论是在能效比还是单位体积的算力等方面,均有较大提升。[2019/4/3]

当migrator的值被确定之后,上图中142行的代码,migrator.migrate(lpToken)也就被随之确定,由migrate的方法是通过IMigratorChef的接口来进行调用的,因此在调用的时候,migrate的方法中的逻辑代码会根据migrator值的不同而变化。

简而言之,如果智能合约拥有者将migrator的值指向一个包含恶意migrate方法代码的智能合约,那么该拥有者可以进行任何其想进行的恶意操作,甚至可能取空所有的账户内的代币。

同时,在上图142行中执行结束migrator.migrate(lpToken)这一行代码后,智能合约拥有者也可以利用重入攻击漏洞,再次重新执行从136行开始的migrate方法或者其他智能合约方法,进行恶意操作。?

当前sushiswap项目创建者表示已经将该项目加入了时间锁定合约的显示,即任意sushiswap项目智能合约拥有者的操作会有48小时的延迟锁定。

该漏洞的启示:

智能合约拥有者不应该拥有无限的权利,必须通过社区监管(governance)来限制智能合约拥有者并确保其不会利用自身优势进行恶意操作;

智能合约代码需要经过严格的安全验证和检查之后,才能够被允许公布。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

[0:0ms0-3:461ms