北京时间8月31日和9月1日,CertiK安全研究团队发现Sushiswap仿盘的两个项目YUNoFinance(YUNO)与KIMCHI.finance(KIMCHI),其智能合约均存在漏洞。如果利用该漏洞,智能合约拥有者可以无限制地增发项目对应的代币数目,导致项目金融进度通胀并最终崩溃。
无限增发漏洞
Balancer:建议用户提现并将流动性迁移至非Boost版本:金色财经报道,Balancer发布推文称,建议Avalanche LST提供者、BENQI、Yield Yak、GoGoPool用户提现并将流动性迁移至非Boost版本,这些池已暂停且安全。但是,这些池将保持暂停状态,建议用户尽快迁移。Balancer UI 将通知所有用户是否在受影响的 LP 中持有流动性,并提供分步提款说明。[2023/8/24 18:18:27]
以Yuno项目中智能合约为例,CertiK安全研究团队对于该无限增发漏洞进行了详细分析,技术细节如下:在Yuno项目中的MasterChef.sol智能合约第1354行中,dev方法可以允许当前拥有devaddr身份的智能合约调用者,将devaddr身份转移给另外一个地址。
CertiK:Star Protocol项目Discord服务器遭黑客入侵:金色财经报道,据CertiK官方推特发布消息称,Star Protocol项目Discord服务器遭黑客入侵。在团队确认已重获对服务器的控制之前,请勿点击任何链接。[2023/7/11 10:47:24]
截图出自:https://etherscan.io/下图中可以看到在智能合约1282行的mint方法是由修饰器onlyOwner进行限制,修饰器onlyOwner决定了只能是智能合约拥有者来执行这个合约。
CertiK:NFT项目WitLink疑似发生Rug Pull,已删除官网社交帐户:7月10日消息,据CertiK检测,NFT项目WitLink疑似发生Rug Pull,该项目删除了Twitter帐户、Discord、Facebook、Instagram和网站。[2022/7/10 2:03:44]
去中心化数据库协议Ceramic添加对Solana的支持:金色财经报道,据官方推特消息,去中心化数据库协议Ceramic宣布添加了对Solana的支持。在Solana上构建的开发人员现在可以将Ceramic的主权数据网络用于跨链身份和动态数据。[2021/12/10 7:29:12]
以上三截图均出自:https://etherscan.io/拥有devaddr身份的调用者,当其身份恰好同时为owner身份的时候,可以通过调用MasterChef.sol智能合约1282行的mint方法,来无限制的增发代币。1282行的mint方法会继续调用1130行的mint方法,并继续由1130行mint方法调用1044行的_mint方法,并最终完成代币增发的操作。Kimichi项目智能合约中存在的无限增发漏洞与以上漏洞基本相同,因此在这里不进行重复叙述。如果owner和devaddr的地址如果相同,那么在外部没有对智能合约拥有者限制的情况下,智能合约拥有者拥有权利增发任意数量的代币,这将会将投资者置于风险之中。那么Yuno和Kimichi这两个项目中的devaddr和owner是否为同一人呢?是否有其他外部制约机制可以限制这两个项目的智能合约拥有者呢?下图为Yuno项目MasterChef.sol智能合约中拥有devaddr和owner身份的地址。
截图出自:https://etherscan.io/下图为Kimichi项目中KimchiChef.sol智能合约中拥有devaddr和owner身份的地址。
截图出自:https://etherscan.io/从上两图中可以看到,Yuno项目中拥有devaddr和owner身份的地址为同一个,因此其智能合约拥有者有权利进行无限制的代币增发。而Kimichi项目中拥有devaddr和owner身份不同,但由于devaddr的身份可以进行转移,因此也存在一定的风险。目前措施
为了确保无限增发漏洞不会被触发,对于Yuno和Kimichi两个项目的智能合约拥有者必须由外部进行限制。当前已经实施的限制条件与Sushiswap项目一致,即对任何由智能合约拥有者进行的智能合约操作,均有48小时的延迟。任何来自智能合约拥有者的操作都会被所有投资者观察到,并有48小时进行应对操作。CertiK安全团队建议
当前DeFi以及相关Farming项目异常火爆,由于区块链项目对于项目代码公开性有要求,因此上线新项目门槛极低。如果盲目借鉴其他项目,任意漏洞都可能被引入到项目中。因此在项目上线之前,应该对项目进行严格的安全审计。从投资者角度,当前Farming项目动辄百分之几千的回报率,极易促使投资者在没有对项目本身有足够了解的情况下进行盲目投资。例如SushiSwap,Yuno以及Kimchi三个项目均没有经过严谨的安全验证就快速上线。投资者可能会被巨大的利益回报迷惑,将宝贵资金投入到有极大风险的智能合约中。
编者按:本文来自链闻ChainNews,撰文:TrentElmore,TopoFinance联合创始人,DeFi项目YAM发起人之一,编译:LeoYoung,星球日报经授权发布.
本周大事记 上周,EOS再次回落至全币种排行榜第12位,整周行情呈现下跌走势。B1已经开始探索多链挖矿策略,EOSGO报道称高性能计算解决方案提供商NorthernDataAG宣布与EOS母公司.
珍珠币已经震荡中飞起,可是很多人确实免费的珍珠,为什么会有免费的珍珠?为什么又有免费的鱼,因为挖矿!怎么挖?激动得内心颤动的双手,可是不知道怎么下手,甚至有的朋友喊出了,宁可被割也要挖矿的呐喊.
原地址:https://medium.com/作者:LarsSchulze译者:La翻译机构:DAOSquare PhotobyGabrielWasylkoonUnsplash2018年1月.
吴说区块链获悉,主打500倍杠杆的合约衍生品交易所BFX.NU,近期遭到一名名为L的用户投诉,首先是限制提币,在用户在社群发布相关言论后,甚至因为“涉嫌在外散布诋毁平台的恶意信息”.
编者按:本文来自威廉闲谈,作者:陳威廉,Odaily星球日报经授权转载。前天晚上美联储的“未来二十年大计”又点燃了海外HODL们抨击美元的热情。一句话解释,在他们眼中,美元未来如厕纸.
区块见闻