北京时间8月31日和9月1日,CertiK安全研究团队发现Sushiswap仿盘的两个项目YUNoFinance(YUNO)与KIMCHI.finance(KIMCHI),其智能合约均存在漏洞。如果利用该漏洞,智能合约拥有者可以无限制地增发项目对应的代币数目,导致项目金融进度通胀并最终崩溃。
无限增发漏洞
Balancer生态收益治理平台Aura Finance发起部署至Optimism的治理投票:7月8日消息,Balancer生态收益治理平台Aura Finance发起部署至Optimism的治理投票,投票截止日期为7月10日2:00,一旦投票获得通过,跨链合约将部署至Optimism。
此前报道,6月份Aura Finance已上线Arbitrum。[2023/7/8 22:25:34]
以Yuno项目中智能合约为例,CertiK安全研究团队对于该无限增发漏洞进行了详细分析,技术细节如下:在Yuno项目中的MasterChef.sol智能合约第1354行中,dev方法可以允许当前拥有devaddr身份的智能合约调用者,将devaddr身份转移给另外一个地址。
Balancer推出Orb Collective用于扩大其生态系统:金色财经消息,去中心化交易协议Balancer推出Orb Collective,其目标是扩大Balancer协议的全球采用率,并继续为DeFi的下一个十年创新培育Balancer生态系统。据悉,Orb Collective由前Balancer Labs和Balancer DAO贡献者组成的团队创建,Orb提供了一种解决方案,通过合作伙伴关系、营销、集成、设计和人员运营工作来促进Balancer协议的发展。[2022/8/2 2:53:20]
Blin Metaverse将于9月6日开放首轮Certified Sale:据官方消息,Blin Metaverse分别与Bounce Finance、DAOStarter、ERAX达成战略合作。并将在UTC时间9月6日12:00(北京时间20:00)于这三家平台进行首轮Certified Sale。
据悉,Blin Metaverse是基于币安智能链BSC的元宇宙+NFTFi 基础设施。旨在通过 IP 重塑、虚拟社交、链上 NFT 资产铸造、确权、价值流通等方式实现多元化虚拟现实交互的综合性去中心化NFT基础设施。[2021/9/6 23:03:32]
截图出自:https://etherscan.io/下图中可以看到在智能合约1282行的mint方法是由修饰器onlyOwner进行限制,修饰器onlyOwner决定了只能是智能合约拥有者来执行这个合约。
加密指数协议Levyathan官方:攻击造成近150万美元损失,准备要求Certik进行部分赔偿:官方消息,加密指数协议Levyathan发布更新表示,在7月30日遭到攻击,黑客铸造100,000,000,000,000,000,0亿枚LEV代币,导致LEV价格归零,损失约150万美元。Levyathan称,由于开发人员的严重疏忽,开发人员的私钥在Github上是公开的。此外,对于关于紧急取款漏洞,这是遭到的第二个原因,Levyathan确认Certik审计部分存在严重疏忽。在审计中,Certik没有注意到导致紧急取款功能的错误。
Levyathan已创建一个钱包,在紧急提款功能期间收到过多资金的用户可以将资金退回,目前已收回15万美元,正在与其他用户讨论尽快收回资金。另一方面,团队目前正在与Certik进行讨论,Levyathan称Certik对资金损失负有部分责任,打算要求他们偿还其用户。此外,Levyathan表示将推出V2以及新代币。[2021/8/3 1:31:34]
以上三截图均出自:https://etherscan.io/拥有devaddr身份的调用者,当其身份恰好同时为owner身份的时候,可以通过调用MasterChef.sol智能合约1282行的mint方法,来无限制的增发代币。1282行的mint方法会继续调用1130行的mint方法,并继续由1130行mint方法调用1044行的_mint方法,并最终完成代币增发的操作。Kimichi项目智能合约中存在的无限增发漏洞与以上漏洞基本相同,因此在这里不进行重复叙述。如果owner和devaddr的地址如果相同,那么在外部没有对智能合约拥有者限制的情况下,智能合约拥有者拥有权利增发任意数量的代币,这将会将投资者置于风险之中。那么Yuno和Kimichi这两个项目中的devaddr和owner是否为同一人呢?是否有其他外部制约机制可以限制这两个项目的智能合约拥有者呢?下图为Yuno项目MasterChef.sol智能合约中拥有devaddr和owner身份的地址。
截图出自:https://etherscan.io/下图为Kimichi项目中KimchiChef.sol智能合约中拥有devaddr和owner身份的地址。
截图出自:https://etherscan.io/从上两图中可以看到,Yuno项目中拥有devaddr和owner身份的地址为同一个,因此其智能合约拥有者有权利进行无限制的代币增发。而Kimichi项目中拥有devaddr和owner身份不同,但由于devaddr的身份可以进行转移,因此也存在一定的风险。目前措施
为了确保无限增发漏洞不会被触发,对于Yuno和Kimichi两个项目的智能合约拥有者必须由外部进行限制。当前已经实施的限制条件与Sushiswap项目一致,即对任何由智能合约拥有者进行的智能合约操作,均有48小时的延迟。任何来自智能合约拥有者的操作都会被所有投资者观察到,并有48小时进行应对操作。CertiK安全团队建议
当前DeFi以及相关Farming项目异常火爆,由于区块链项目对于项目代码公开性有要求,因此上线新项目门槛极低。如果盲目借鉴其他项目,任意漏洞都可能被引入到项目中。因此在项目上线之前,应该对项目进行严格的安全审计。从投资者角度,当前Farming项目动辄百分之几千的回报率,极易促使投资者在没有对项目本身有足够了解的情况下进行盲目投资。例如SushiSwap,Yuno以及Kimchi三个项目均没有经过严谨的安全验证就快速上线。投资者可能会被巨大的利益回报迷惑,将宝贵资金投入到有极大风险的智能合约中。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。