北京时间8月31日和9月1日,CertiK安全研究团队发现Sushiswap仿盘的两个项目YUNo Finance (YUNO)与KIMCHI.finance (KIMCHI),其智能合约均存在漏洞。如果利用该漏洞,智能合约拥有者可以无限制地增发项目对应的代币数目,导致项目金融进度通胀并最终崩溃。
以Yuno项目中智能合约为例,CertiK安全研究团队对于该无限增发漏洞进行了详细分析,技术细节如下:
在Yuno项目中的MasterChef.sol智能合约第1354行中,dev方法可以允许当前拥有devaddr身份的智能合约调用者,将devaddr身份转移给另外一个地址。
截图出自:https://etherscan.io/address/0x450f143f1a8650fff968d890814bd5884bdc8f1d#code
下图中可以看到在智能合约1282行的mint方法是由修饰器onlyOwner进行限制,修饰器onlyOwner决定了只能是智能合约拥有者来执行这个合约。
以上三截图均出自:https://etherscan.io/address/0x450f143f1a8650fff968d890814bd5884bdc8f1d#code
拥有devaddr身份的调用者,当其身份恰好同时为owner身份的时候,可以通过调用MasterChef.sol智能合约1282行的mint方法,来无限制的增发代币。1282行的mint方法会继续调用1130行的mint方法,并继续由1130行mint方法调用1044行的_mint方法,并最终完成代币增发的操作。
Kimichi项目智能合约中存在的无限增发漏洞与以上漏洞基本相同,因此在这里不进行重复叙述。
如果owner和devaddr的地址如果相同,那么在外部没有对智能合约拥有者限制的情况下,智能合约拥有者拥有权利增发任意数量的代币,这将会将投资者置于风险之中。那么Yuno和Kimichi这两个项目中的devaddr和owner是否为同一人呢?是否有其他外部制约机制可以限制这两个项目的智能合约拥有者呢?
下图为Yuno项目MasterChef.sol智能合约中拥有devaddr和owner身份的地址(截止北京时间9月1日晚11点)。
截图出自:https://etherscan.io/address/0x9dd5b5c71842a4fd51533532e5470298bfa398fd#readContract
下图为Kimichi项目中KimchiChef.sol智能合约中拥有devaddr和owner身份的地址(截止北京时间9月1日晚11点)。
从上两图中可以看到,Yuno项目中拥有devaddr和owner身份的地址为同一个,因此其智能合约拥有者有权利进行无限制的代币增发。而Kimichi项目中拥有devaddr和owner身份不同,但由于devaddr的身份可以进行转移,因此也存在一定的风险。
为了确保无限增发漏洞不会被触发,对于Yuno和Kimichi两个项目的智能合约拥有者必须由外部进行限制。当前已经实施的限制条件与Sushiswap项目一致,即对任何由智能合约拥有者进行的智能合约操作,均有48小时的延迟。任何来自智能合约拥有者的操作都会被所有投资者观察到,并有48小时进行应对操作。
当前DeFi以及相关Farming项目异常火爆,由于区块链项目对于项目代码公开性有要求,因此上线新项目门槛极低。如果盲目借鉴其他项目,任意漏洞都可能被引入到项目中。因此在项目上线之前,应该对项目进行严格的安全审计。
从投资者角度,当前Farming项目动辄百分之几千的回报率,极易促使投资者在没有对项目本身有足够了解的情况下进行盲目投资。例如SushiSwap,Yuno以及Kimchi三个项目均没有经过严谨的安全验证就快速上线。投资者可能会被巨大的利益回报迷惑,将宝贵资金投入到有极大风险的智能合约中。
昨日晚间一波探底回升,价格突破小时下降三角压制,最高冲至10440美金附近在回落,不过调整量能一般,属于突破回踩的健康走势,并且近期日线接连下插针,显示阶段抄底买盘的强势,短期5日均线也由下降转为走平姿态,空头量柱0轴下方逐步缩短,表明近期再次大幅下砸的可能性不大,短期止跌企稳迎来反弹的概率大,BTC自前期12000美金上方一路砸下来。
在过去一周,DeFi平台上锁定的总价值受到了巨大冲击。与2020年9月2日84.1亿美元的峰值相比下降了20%。 这标志着DeFi协议的第一次重大修正,这是在一系列新产品(即流动性挖矿)的推动下实现空前增长后的缓和期。减少的金额超过16亿美元。从9月2日的高位84.1亿美元仅4天跌至67.5亿美元。
互联网当初时期的情形同现在区块链的情景非常相似。在互联网出现的初期,这个新技术被人们用来发邮件和建立个人网站。再往后来,就开始出现像雅虎这样的门户网站。最初在互联网上传播的都是个人和公司直接生产的信息,并没有新闻媒体和出版社这样的专业出版机构生产的专业内容。出版行业并没有对互联网的发展给予足够重视。
金色财经讯,随着DEX和DeFi项目的快速发展,8月份DEX的交易额已经超过110亿美元,DeFi协议锁仓价值突破100亿美元,受此影响,以太坊上交易手续费持续攀升。进入9月,以太坊矿工手续费收入创下新高。
8月31日消息,中国工商银行官方宣布发行数字信用卡:无界白金数字卡,并且在官方APP“工银e生活”中开设数字卡专区,用户现在可以进入选择数字卡启用并完成“一键绑卡”。也就是说,如若启用数字卡,需要工商银行信用卡。 工行副行长张文武表示,工行正按照人民银行的统一要求开展数字货币方面的研究工作。
8月31日,DeBank数据显示,DeFi协议总锁仓量突破100亿美元。从10亿到100亿,DeFi用了3个月。 如今,DeFi热潮仍在继续。