北京时间8月31日和9月1日,CertiK安全研究团队发现Sushiswap仿盘的两个项目YUNoFinance(YUNO)与KIMCHI.finance(KIMCHI),其智能合约均存在漏洞。如果利用该漏洞,智能合约拥有者可以无限制地增发项目对应的代币数目,导致项目金融进度通胀并最终崩溃。
无限增发漏洞
friend.tech 24小时协议收入较昨日下跌超50%,排名降至第八:8月24日消息,据DefiLlama数据显示,friend.tech 24小时协议收入达32.3万美元,较昨日下跌超50%,排名自第五名降至第八名。
据Odaily昨日报道,friend.tech 24小时协议收入达73.9万美元,排名第五。[2023/8/24 10:39:44]
以Yuno项目中智能合约为例,CertiK安全研究团队对于该无限增发漏洞进行了详细分析,技术细节如下:在Yuno项目中的MasterChef.sol智能合约第1354行中,dev方法可以允许当前拥有devaddr身份的智能合约调用者,将devaddr身份转移给另外一个地址。
报告:Solana链上套利交易正在占用大量区块空间:金色财经报道,根据加密基础设施公司Jito Labs分析报告显示,尽管Solana开发人员努力阻止可能威胁到网络停滞的垃圾交易,但网络的大部分计算仍然浪费在失败的交易上。
根据Jito的说法,在最近的一个时期(Solana上的时间段大致相当于两天半),套利交易占据了总计算空间的60%。这些交易是机器人试图交易中进行套利,其中98%都失败了。
Jito Labs首席执行官buffalo表示,Jito基金会正在为Solana网络建立一个专门的客户,为MEV进行优化。[2023/3/1 12:35:22]
分析:DOGE最大匿名持有者“Robinhood”或是马斯克:11月3日消息,据链上分析师披露,狗狗币DOGE最大匿名持有者“Robinhood”或是Elon Musk本人,该地址在2022年7月19至21日的三天时间里从5个地址收到了总计410亿枚DOGE,而这5个地址中的DOGE主要来自于另一个地址:DH5yaieqoZN36fDVciNyRueRGvGLR3mr7L,该地址曾被认为就是Elon Musk的地址。
分析称,Elon Musk在2021年2月10日发推称为儿子购买了DOGE,巧合的是“DH5ya”地址在2月10日那天也在积累DOGE。2021年4月28日,Elon Musk在社交媒体发文自称已经成为“The Dogfather”,而当日“DH5ya”地址因持有367.1亿枚DOGE(占总供应量28%)成为了最大持有者。有趣的是,该地址在2021年Elon Musk生日的时候收到了3次28.061971枚DOGE,而Elon Musk的出生日期就是1971年6月28日,因此推测该地址实际持有者或是Elon Musk。[2022/11/4 12:14:59]
截图出自:https://etherscan.io/下图中可以看到在智能合约1282行的mint方法是由修饰器onlyOwner进行限制,修饰器onlyOwner决定了只能是智能合约拥有者来执行这个合约。
动态 | NBA球员Spencer Dinwiddie表示将于1月13日启动其代币投资平台:据Decrypt消息,NBA球员Spencer Dinwiddie本周表示,尽管NBA威胁禁止他进入职业篮球联盟,但他的代币投资平台将于1月13日启动。据悉,联盟仍在审核Dinwiddie的修订提案,这意味着该平台不能保证在1月13日启用。此前消息,Dinwiddie于2019年10月宣布计划推出区块链投资平台DREAM Fan Shares,出售90种名为SD8 coins的代币,代币持有者将在未来三年内以4.95%的基本利率每月收到还款。但NBA对这一提议并不感兴奋,称这种平台违反NBA球员的集体谈判协议。[2020/1/11]
以上三截图均出自:https://etherscan.io/拥有devaddr身份的调用者,当其身份恰好同时为owner身份的时候,可以通过调用MasterChef.sol智能合约1282行的mint方法,来无限制的增发代币。1282行的mint方法会继续调用1130行的mint方法,并继续由1130行mint方法调用1044行的_mint方法,并最终完成代币增发的操作。Kimichi项目智能合约中存在的无限增发漏洞与以上漏洞基本相同,因此在这里不进行重复叙述。如果owner和devaddr的地址如果相同,那么在外部没有对智能合约拥有者限制的情况下,智能合约拥有者拥有权利增发任意数量的代币,这将会将投资者置于风险之中。那么Yuno和Kimichi这两个项目中的devaddr和owner是否为同一人呢?是否有其他外部制约机制可以限制这两个项目的智能合约拥有者呢?下图为Yuno项目MasterChef.sol智能合约中拥有devaddr和owner身份的地址。
截图出自:https://etherscan.io/下图为Kimichi项目中KimchiChef.sol智能合约中拥有devaddr和owner身份的地址。
截图出自:https://etherscan.io/从上两图中可以看到,Yuno项目中拥有devaddr和owner身份的地址为同一个,因此其智能合约拥有者有权利进行无限制的代币增发。而Kimichi项目中拥有devaddr和owner身份不同,但由于devaddr的身份可以进行转移,因此也存在一定的风险。目前措施
为了确保无限增发漏洞不会被触发,对于Yuno和Kimichi两个项目的智能合约拥有者必须由外部进行限制。当前已经实施的限制条件与Sushiswap项目一致,即对任何由智能合约拥有者进行的智能合约操作,均有48小时的延迟。任何来自智能合约拥有者的操作都会被所有投资者观察到,并有48小时进行应对操作。CertiK安全团队建议
当前DeFi以及相关Farming项目异常火爆,由于区块链项目对于项目代码公开性有要求,因此上线新项目门槛极低。如果盲目借鉴其他项目,任意漏洞都可能被引入到项目中。因此在项目上线之前,应该对项目进行严格的安全审计。从投资者角度,当前Farming项目动辄百分之几千的回报率,极易促使投资者在没有对项目本身有足够了解的情况下进行盲目投资。例如SushiSwap,Yuno以及Kimchi三个项目均没有经过严谨的安全验证就快速上线。投资者可能会被巨大的利益回报迷惑,将宝贵资金投入到有极大风险的智能合约中。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。