ERT:CertiK：SushiSwap智能合约漏洞事件分析_LibreFreelencer

北京时间8月28日，CertiK安全研究团队发SushiSwap项目智能合约中存在多个安全漏洞。该漏洞可能被智能合约拥有者利用，允许拥有者进行包括将智能合约账户内的代币在没有授权的情况下取空等操作在内的任意操作。同时该项目智能合约还存在严重的重入攻击漏洞，会导致潜在攻击者的恶意代码被执行多次。技术解析

CertiK：WealthPass NFT Discord 服务器已被入侵:据CertiK官方推特发布消息，@WealthPass_NFT Discord 服务器已被入侵。在团队确认已重获对服务器的控制之前，请勿点击任何链接，铸造或批准任何交易。详见：https://skynet.certik.com/zh-CN/alerts/security/8b1304c7-a38c-4a1e-9992-83bf54b5651e[2023/8/11 16:19:22]

CertiK：Push Protocol项目Discord服务器已被入侵:金色财经消息，据CertiK监测，Push Protocol项目Discord服务器已被入侵，有黑客发布钓鱼链接。在团队确认已重获对服务器的控制之前，请勿点击任何链接。[2023/5/30 11:47:40]

MasterChief.sol:131图片来源：https://github.com/sushiswap/在SushiSwap项目MasterChief.sol智能合约的131行中，智能合约的拥有者可以有权限来设定上图中migrator变量的值，该值的设定可以决定由哪一个migrator合约的代码来进行后面的操作。

Radicle社区提案建议取消暂停Balancer流动性引导池兑换:去中心化代码协作平台Radicle发推称，由于需求旺盛，Snapshot上的一个提案建议取消暂停Balancer流动性引导池（LBP）上兑换功能。这是为了在短期内提供更多的RAD流动性，同时通过官方治理推动正式提案。投票将持续24小时。

据此前报道，Radicle通过Balancer LBP代币销售募资近2500万美元，已经暂停Balancer LBP上的兑换。[2021/2/28 18:01:03]

MasterChief.sol:136。图片来源：https://github.com/sushiswap/当migrator的值被确定之后，migrator.migrate(lpToken)也就可以被随之确定。由migrate的方法是通过IMigratorChef的接口来进行调用的，因此在调用的时候，migrate的方法中的逻辑代码会根据migrator值的不同而变化。简而言之，如果智能合约拥有者将migrator的值指向一个包含恶意migrate方法代码的智能合约，那么该拥有者可以进行任何其想进行的恶意操作，甚至可能取空账户内所有的代币。同时，在上图142行中migrator.migrate(lpToken)这一行代码执行结束后，智能合约拥有者也可以利用重入攻击漏洞，再次重新执行从136行开始的migrate方法或者其他智能合约方法，进行恶意操作。该漏洞的启示

·智能合约拥有者不应该拥有无限的权利，必须通过社区监管及治理(governance)来限制智能合约拥有者并确保其不会利用自身优势进行恶意操作。·智能合约代码需要经过严格的安全验证和检查之后，才能够被允许公布。当前SushiSwap项目创建者表示，已将该项目迁移到时间锁定合约，即任意SushiSwap项目智能合约拥有者的操作会有48小时的延迟锁定。在此CertiK技术团队建议大家在智能合约公布前，尽量寻找专业团队做好审计工作，以免项目出现漏洞造成损失。

标签：RATCERERTUSHProtectorate ProtocolLibreFreelencerExpertyTUSHI价格

以太坊价格热门资讯