北京时间11月12日,CertiK安全研究团队发现DeFi项目text.finance智能合约代码部分存在安全漏洞。
分析之前,先考考大家的眼力,看看下图里面的文字说了什么。
如果看不清,不妨点击图片后把屏幕亮度调至最高。
有的时候,某些不想让你看到的因素,正是通过排版或者这样的方式,被刻意隐藏了起来。
接下来说说该项目中存在的两处漏洞。大家不妨在阅读文章的时候注意一下图中[function函数]的位置。
第一弹:项目拥有者可通过第一处漏洞,将指定数目代币转移到任意地址。
第二弹:项目拥有者可通过第二处漏洞,将任意投资者的流动性池中的资产强制转移到项目拥有者的地址中。
textMiner.sol
部署地址:
https://etherscan.io/address/0x9858728de38c914c2ea32484a113b6628d984a82#code
BCH跌破800美元关口 日内跌幅为0.13%:火币全球站数据显示,BCH短线下跌,跌破800美元关口,现报799.91美元,日内跌幅达到0.13%,行情波动较大,请做好风险控制。[2021/4/24 20:53:51]
1. 漏洞一
项目拥有者在textMiner.sol智能合约1000行处实现了withUpdates()函数。该函数的的作用是可以将任意数量的为devaddr地址铸造任意数量的代币。而通过查看图2中devaddr和项目拥有者owner的地址值,可以发现两者相同,因此项目拥有者可以通过该漏洞为devaddr地址铸造任意数目代币。
同时,当前的devaddr地址拥有者可以通过图3的dev()函数将devaddr地址值更换到另外一个地址,因此最终项目拥有者可以更换将devaddr地址值更换的方法,向任意地址中铸造任意数目代币。
虽然项目拥有者将图1中的withUpdates()函数设置为不允许智能合约外部调用,但是却有意地在图4中919行实现了允许被外部调用的add()函数,然后通过921行代码调用withUpdates()函数,从而实现向devaddr地址铸造1000000000000000000000000000000数量代币。
图1:第1000行中的withUpdates()函数
图2:devaddr地址以及项目拥有者owner地址
图3:dev()函数
图4:add()函数
2. 漏洞二
图5:emergencyWithdraw()函数
项目拥有者可以通过调用图5中emergencyWithdraw()函数,将某一个特定地址投资者的某一个流动性池中的流动性资产全部取出,并转移到项目拥有者的地址中。
该emergencyWithdraw()函数是一个基于正确的emergencyWithdraw()函数。因此就算审视合约者不恶意揣测,也很难说项目方不是恶意改写,并添加了该漏洞。
从下图6的对比中可以发现,Sushiswap允许投资者通过调用emergencyWithdraw()函数,紧急取出属于自己的流动性资产,而在text.finance中却仅允许项目拥有者来调用该函数,同时允许项目拥有者取出属于任何投资者的流动性资产。
图6:text.finance和sushiswap项目中emergencyWithdraw()函数实现对比
CertiK安全研究团队认为当投资者在对DeFi项目进行投资时,不仅需要对智能合约常见的代码有所了解,更需要谨慎地审视具体代码的实现逻辑。否则极易掉入类似该项目中的恶意漏洞陷阱当中。
对于非技术背景的投资者,更需要了解项目是否经过严谨的技术审计。从Text.finance项目的恶意漏洞中可以看出,盲目投资一个没有经过严格审计的项目,或引发极大风险,并造成难以估量的损失。
标签:ADDWITHDEVWITDADDYFEGFriends With Benefits Prodevt币今日行情DontPlaywithKitty
德国最大的银行机构德意志银行相信,央行数字货币(CBDC)将在未来取代现金。 德意志银行的研究部门Deutsche Bank Research发布了一份有关经济评估和提议的新报告,以帮助受冠状病大流行冲击的全球经济。11月10日,这篇名为《我们必须如何重建》(What We Must Do to Rebuild)的研究报告发布了。
近期,比特币一举冲破16000美元大关,再次创下了年内新高;同一时间,DeFi市场大幅回暖,带动加密货币市场稳中向上。尽管整体市场的体量尚且无法与传统金融市场相比,监管合规等政策方面也亟待完善,但并不妨碍传统市场对加密货币领域的兴趣,不少传统机构开始尝试融入加密市场。
以太坊的联合创始人Vitalik Buterin最近在Reddit上的“Ask Me Anything”(AMA)环节回答了一些社区问题。 图片来源:pixabay Buterin周三在以太坊基金会的ETH 2.0研究团队主办的AMA上表示, ETH 2.0的益处将比人们预期的更快出现。
金色财经报道,11月20日,以太坊研发者Philippe Castonguay发推表示,很惊讶以太坊2.0阶段0的存款一直都很稳定。使用线性回归推测,1月27日似乎可以达到启动门槛,比我预期的要早。如果会有最后的冲刺,可能会提前一周左右。据昨日消息,CryptoQuant团队也称,通过计算得出,按目前进度ETH2.0主网将在2021年1月15日上线。
自11月16日起,为期3天的V20峰会开始在巴黎举行,会议的主要议题为稳定币和DeFi的监管。 本次峰会,除了金融行动特别工作组(FATF)之外,日本金融服务局、美国的财政部、美国财政部金融犯罪执法网络(FinCEN)和新加坡金融管理局(MAS)也将参与峰会。此外,澳大利亚、加拿大等高级政府官员也将出席会议。
风险提醒:EOS作为曾经红极一时的热门公链,由于众所周知的种种原因导致越来越多社区成员和投资人的失望,今年比特币、DeFi、以太坊生态进展迅速,但EOS却是一蹶不振,我们也看到各社群里的一片片叫骂声。