首发 | SushiSwap仿盘 YUNO与KIMCHI智能合约漏洞或存安全隐患

北京时间8月31日和9月1日,CertiK安全研究团队发现Sushiswap仿盘的两个项目YUNo Finance (YUNO)与KIMCHI.finance (KIMCHI),其智能合约均存在漏洞。如果利用该漏洞,智能合约拥有者可以无限制地增发项目对应的代币数目,导致项目金融进度通胀并最终崩溃。

以Yuno项目中智能合约为例,CertiK安全研究团队对于该无限增发漏洞进行了详细分析,技术细节如下: 

在Yuno项目中的MasterChef.sol智能合约第1354行中,dev方法可以允许当前拥有devaddr身份的智能合约调用者,将devaddr身份转移给另外一个地址。

以太坊开发者:MakerDAO保险库以1155美元的均价出售了6.5万枚ETH:6月13日消息,据以太坊开发者mariano.eth的推文,MakerDAO保险库于今日11:56以1155美元的均价出售了6.5万枚ETH来偿还债务和降低风险,这给Oasis.app带来了15万的交易费。[2022/6/13 4:21:52]

截图出自:https://etherscan.io/address/0x450f143f1a8650fff968d890814bd5884bdc8f1d#code

下图中可以看到在智能合约1282行的mint方法是由修饰器onlyOwner进行限制,修饰器onlyOwner决定了只能是智能合约拥有者来执行这个合约。

Ripple 推出 Ripple Liquidity Hub 计划,为企业建立加密货币流动性平台:11月10日消息,Ripple 推出 Ripple Liquidity Hub 计划,该计划旨在为企业建立加密货币流动性平台,该平台将利用智能订单路由从做市商、交易所和场外交易中以最优的价格购买数字资产,企业可以使用 Ripple Liquidity Hub 为他们的终端客户提供在以最佳价格购买、出售数字资产的服务。该平台还将通过简化的 API 避免在集成平台的过程中消耗过多的时间和资源,并且无需事先存入资金。Ripple 表示,Ripple Liquidity Hub 最初将支持 比特币、以太坊、LTC、ETC、BCH 和 XRP,并且已和美国比特币 ATM 公司 Coinme 达成合作,Coinme 将采用 Ripple Liquidity Hub 的底层技术平台。[2021/11/10 6:43:00]

以上三截图均出自:https://etherscan.io/address/0x450f143f1a8650fff968d890814bd5884bdc8f1d#code

拥有devaddr身份的调用者,当其身份恰好同时为owner身份的时候,可以通过调用MasterChef.sol智能合约1282行的mint方法,来无限制的增发代币。1282行的mint方法会继续调用1130行的mint方法,并继续由1130行mint方法调用1044行的_mint方法,并最终完成代币增发的操作。

 Kimichi项目智能合约中存在的无限增发漏洞与以上漏洞基本相同,因此在这里不进行重复叙述。

如果owner和devaddr的地址如果相同,那么在外部没有对智能合约拥有者限制的情况下,智能合约拥有者拥有权利增发任意数量的代币,这将会将投资者置于风险之中。那么Yuno和Kimichi这两个项目中的devaddr和owner是否为同一人呢?是否有其他外部制约机制可以限制这两个项目的智能合约拥有者呢?

下图为Yuno项目MasterChef.sol智能合约中拥有devaddr和owner身份的地址(截止北京时间9月1日晚11点)。

截图出自:https://etherscan.io/address/0x9dd5b5c71842a4fd51533532e5470298bfa398fd#readContract

下图为Kimichi项目中KimchiChef.sol智能合约中拥有devaddr和owner身份的地址(截止北京时间9月1日晚11点)。

从上两图中可以看到,Yuno项目中拥有devaddr和owner身份的地址为同一个,因此其智能合约拥有者有权利进行无限制的代币增发。而Kimichi项目中拥有devaddr和owner身份不同,但由于devaddr的身份可以进行转移,因此也存在一定的风险。

为了确保无限增发漏洞不会被触发,对于Yuno和Kimichi两个项目的智能合约拥有者必须由外部进行限制。当前已经实施的限制条件与Sushiswap项目一致,即对任何由智能合约拥有者进行的智能合约操作,均有48小时的延迟。任何来自智能合约拥有者的操作都会被所有投资者观察到,并有48小时进行应对操作。

当前DeFi以及相关Farming项目异常火爆,由于区块链项目对于项目代码公开性有要求,因此上线新项目门槛极低。如果盲目借鉴其他项目,任意漏洞都可能被引入到项目中。因此在项目上线之前,应该对项目进行严格的安全审计。

从投资者角度,当前Farming项目动辄百分之几千的回报率,极易促使投资者在没有对项目本身有足够了解的情况下进行盲目投资。例如SushiSwap,Yuno以及Kimchi三个项目均没有经过严谨的安全验证就快速上线。投资者可能会被巨大的利益回报迷惑,将宝贵资金投入到有极大风险的智能合约中。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

欧易交易所金色前哨 | 越来越主流 瑞士楚格接受BTC和ETH交税了

作为著名的世界金融中心,瑞士在接受加密货币方面一直走在世界前列。现在瑞士更进了一步,接受BTC和ETH交税,加密货币真正走进社会主流了。 因为较低税率和宽容的金融监管政策,瑞士楚格州(Zug)一直是对冲基金,加密货币公司和商品交易商的所在地。据彭博最新报道,瑞士楚格州将开始允许公民以BTC和ETH缴税。

瑞波币金色观察丨细数DeFi风险和技巧 小心引火烧身

金色财经 区块链9月2日讯 最近去中心化金融(DeFi)行业里挂起了一阵“美食”封,以食物命名的意面(PASTA)、虾(SHRIMP)、玉米卷(TACO)、寿司(Sushiswap)等DeFi财富游戏越来越风靡。那么这些“食物”去中心化金融项目究竟有何玄机,玩家最关心的风险等级又如何呢?下面让我们来一一揭开它的神秘面纱。

屎币DeFi许多是连环锁定或抵押 一荣俱荣一损俱损

狂人说 中心化交易所疯狂上新币,优质资源抢着上,谁上晚了,就意味着谁家的韭菜成为接盘侠,Defi的热度来的快去的也快,涨跌都在一瞬间,先来的割后来的。现在中心化交易所也不容易,各家的研究院都忙着做研究,比谁跑的更快,嗅觉更灵敏。最近几大交易所中,GATE应该是做的相对最好的,其上币速度相比三大交易所具有一定前瞻性,也因此吃到了一波不错的福利。

[0:15ms0-7:907ms