区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > 瑞波币 > 正文

首发 | Sushiswap智能合约安全漏洞事件分析

作者:

时间:

北京时间8月28日,CertiK安全研究团队发现sushiswap项目智能合约中存在多个安全漏洞,该漏洞可能被智能合约拥有者利用,允许拥有者进行包括将智能合约账户内的代币在没有授权的情况下取空等操作在内的任意操作。同时该项目智能合约还存在严重的重入攻击漏洞,会导致潜在攻击者的恶意代码被执行多次。

技术步骤:

MasterChief.sol:131 https://github.com/sushiswap/sushiswap/blob/master/contracts/MasterChef.sol

前Ripple CTO本月已出售近2.75亿枚XRP:金色财经报道,据XRPscan数据显示,自本月初以来,前Ripple CTO Jed McCaleb已出售了近2.75亿枚XRP,其中包括七笔分别为17,301,056枚XRP,七笔分别为13,398,341枚XRP,以及六笔分别为10,008,592枚XRP。[2021/5/23 22:33:06]

在sushiswap项目智能合约的MasterChief.sol智能合约的131行中,智能合约的拥有者可以有权限来设定上图中migrator变量的值,该值的设定可以决定由哪一个migrator合约的代码来进行后面的操作。

MasterChief.sol:136 https://github.com/sushiswap/sushiswap/blob/master/contracts/MasterChef.sol

当migrator的值被确定之后,上图中142行的代码,migrator.migrate(lpToken)也就被随之确定,由migrate的方法是通过IMigratorChef的接口来进行调用的,因此在调用的时候,migrate的方法中的逻辑代码会根据migrator值的不同而变化。

简而言之,如果智能合约拥有者将migrator的值指向一个包含恶意migrate方法代码的智能合约,那么该拥有者可以进行任何其想进行的恶意操作,甚至可能取空所有的账户内的代币。

同时,在上图142行中执行结束migrator.migrate(lpToken)这一行代码后,智能合约拥有者也可以利用重入攻击漏洞,再次重新执行从136行开始的migrate方法或者其他智能合约方法,进行恶意操作。 

当前sushiswap项目创建者表示已经将该项目加入了时间锁定(timelock)合约的显示,即任意sushiswap项目智能合约拥有者的操作会有48小时的延迟锁定。

该漏洞的启示:

智能合约拥有者不应该拥有无限的权利,必须通过社区监管(governance)来限制智能合约拥有者并确保其不会利用自身优势进行恶意操作;

智能合约代码需要经过严格的安全验证和检查之后,才能够被允许公布。

标签:COINOINECOINLECCoinAll Tokenomnicoinfilecoin币价COLLECTIVE币

瑞波币热门资讯
8.27 午间行情:短期走势与操作思路

文章系金色财经专栏作者牛七的区块链分析记供稿,发表言论仅代表其个人观点,仅供学习交流!金色盘面不会主动提供任何交易指导,亦不会收取任何费用指导交易,请读者仔细甄别,谨防上当。 比特币持续下跌,直接放量跌破了MA30线,最低到了11117美金。

Filecoin经济报告(全文):代币经济模型设计的原理

金色财经8月28日讯 分布式存储项目Filecoin(FIL)正式发布了一份长达32页的Filecoin经济报告,详细阐述了代币经济模型设计的原理和细则。按照Filecoin代币分配细则,Filecoin代币总量为20亿枚,5%分配给Filecoin基金会,10%用于融资,15%分配给协议实验室,70%分配给矿工。

AMM将成为继比特币和以太坊之后第三大区块链发明

这个标题肯定会引起很大的争议,近些年各种新概念层出不穷,但自从2017年以太坊和第一批联盟链开源技术框架给区块链行业带来巨大实质性成功后,几乎再无有益于区块链整体大跨步前进的新发明。

新闻周刊 | 建行“数字人民币钱包”上线 Filecoin主网9月启动

金色周刊是金色财经推出的一档每周区块链行业总结栏目,内容涵盖一周重点新闻、行情与合约数据、矿业信息、项目动态、技术进展等行业动态。本文是其中的新闻周刊,带您一览本周区块链行业大事。

跨链迁徙——DeFi项目们的抄袭对象们

自Compound开启流动性挖矿以来,DeFi彻底火了。从COMP烧到了整个币市,从以太坊烧到了所有公链。 星星之火,渐成燎原之势。 在这场DeFi项目的跨链大迁徙中,诞生在其他公链上的新项目,总能在以太坊上找到原型。 然后市场反应也基本都能对标原型,只不过会根据所在公链的大小以及项目诞生的先后而依次递减。

Filecoin最后冲刺 「中心化」疑虑未消

8月25日,Filecoin太空竞赛启动,全球约300名矿工参与角逐,目的是进行压力测试并发现问题,同时争夺官方提供的400万枚FIL奖励。 在此期间,问题暴露出来,DDoS攻击、代码漏洞接连出现,导致一些矿工折损算力,甚至已封存的数据丢失。Filecoin这轮主网上线前的「模拟考」显得有些混乱。