木星链 木星链
Ctrl+D收藏木星链
首页 > 瑞波币 > 正文

CER:CertiK:Soda项目智能合约安全漏洞分析

作者:

时间:1900/1/1 0:00:00

判断一个人到底属于什么资产阶级,只需要看他的负债率。简而言之,借的钱越多,代表你越有钱。所以借钱从某种角度上来讲,是属于富人的游戏。通过借贷手段合理分配资产从而达到收益也是理财的精髓。相信每个人都好奇过,银行到底拿我们存的钱去做什么了呢?从这种角度上来讲,银行属于最大的欠款方。那如果,突然有人攻破了银行系统,强制银行“还款”,然后本来需要还到储蓄者账户里的钱款直接被攻击者收入囊中,储蓄者和银行都将成为最大的受害方。

Balancer:正研究bbeUSD按比例取款的解决方案,预计下周初进行:3月15日消息,去中心化交易协议 Balancer 发推表示,我们正在积极研究一种解决方案,以在 UI 上启用 bbeUSD 的按比例取款。这预计会在下周初进行,一旦上线就会更新社区。[2023/3/16 13:06:36]

北京时间9月21日,CertiK安全研究团队发现soda区块链项目中存在智能合约安全漏洞,该漏洞允许任意外部调用者通过调用智能合约函数,无视受害用户债务中的代币数目,强行结算受害用户的债务,并将通过结算操作所得的收益转入到自己的收款地址。soda项目官方现在已经提交修复补丁来修复这个安全漏洞,但由于soda项目采用了TimeLock来将所有的操作延迟48小时,修复补丁会在延迟事件之后生效,因此截止发稿时,该漏洞已完成修复。漏洞技术分析

区块链安全机构CertiK完成B+轮2400万美元融资:8月17日,CertiK宣布完成B+轮2400万美元融资。本轮融资由Tiger Global和高瓴创投共同领投,用以支持CertiK新产品Skynet Premium的发布。现今CertiK已进入增长阶段,继续扩大在区块链安全赛道的领先优势,一个月内完成两轮融资,30天内融资超过6000万美元。

此前CertiK于今年7月从顺为资本、Coatue Management和Coinbase Ventures处获得3700万美元B轮融资,为区块链安全赛道最大单笔融资。[2021/8/17 22:18:47]

Lancer Capital 宣布投资 AI NFT平台 Uniarts:据官方消息,Lancer Capital 宣布投资 AI NFT平台 Uniarts。

据悉,Uniarts与人工智能的专家学者和行业专家合作,将AI艺术创作和机器学习可视化的成果转化为NFT。 此外还将人工智能的个性人格和交互反应映射到Uniarts. NFT的Live2D或3D模型中,形成无以伦比的NFT区块链智能。

同时,Uniarts为实体企业和艺术家提供NFT SDK工具,结合顶级IP运营资源 覆盖(电影游戏艺术等领域),实现链下实体卡零售,链上NFT双向同步发行。

除投资外,Lancer Capital也将会全力支持Uniarts在NFT产业的发展,助力更多IP的整合与整体对于NFT实践的创业以及更好的与传统版权IP相结合,服务于市场用户,扩大NFT产品影响力。[2021/4/9 20:02:21]

https://github.com/

安全机构:Gate.io蝉联CER全球交易平台安全测评第一名:根据国际第三方安全机构CER 8月最新交易所安全测评排名显示,Gate.io的网络安全分数升至9.65分,蝉联CER全球交易平台安全测评第一名,同时获评全球最值得信任的20个交易平台称号首位,在CER、CoinGecko等多个榜单中位居榜首。此前7月,Gate.io已在该评分中获得9.38分,在全球100个交易平台中排名第一。CER成立于2018年,是业内第一个公开批评现有交易量指标的加密货币交易所排名平台,其安全标准被CoinGecko、CoinMarketCap等权威行情网站所广泛使用。[2020/9/1]

soda项目中的WETHCalculator.sol智能合约中存在逻辑实现错误导致的安全漏洞,图一中WETHCalculator.sol智能合约第193行,maximumLoad的计算公式错误的使用了amount作为基础值。因此,在196行满足require()判断的检测条件loanTotal>=maximumLoan可以转换为:loanInfo.amount+interest>=loanInfo.amount*maximumLTV/LTV_BASE由于maximumLTV/LTV_BASE的值是在0.15-0.95区域中变动,并且interest>=0。因此图一196行的require()判断中的检测条件总是为真。失去了该require()判断的保护,任何外部调用者可以通过调用以下图二中SodaBank.sol中104行的collectDebt()函数来将任意loadId的贷款清空。在执行该函数的过程中,图一中的collectDebt()函数会在图2第121行被执行,并通过123行和125行代码将该用户锁在soda里面的WETH的其中一部分转移到该外部调用者的地址msg.sender中:

https://github.com/通过以上漏洞,任何外部调用者都可以通过调用SodaBank.sol中的collectDebt()并传入其他用户的loadId来清空该用户在soda中的代币。官方修复细节

soda官方为修复以上漏洞,设计了新的智能合约WETHCalculatorFixed.sol来替换WETHCalculator.sol。通过分析可以看到在图三WETHCalculatorFixed.sol智能合约第979行,maximumLoan的计算公式被正确的计算为loanInfo.lockedAmount*maximumLTV/LTV_BASE。因此,图三中第982行require()判断的检测条件变更为:loanInfo.amount+interest>=loanInfo.lockedAmount*maximumLTV/LTV_BASE

https://github.com/该等式的代码实现与soda项目中的逻辑设计相符,该等式的真假与用户的借贷债务数目和被锁本金数目相关。漏洞完成修复。soda项目中关于该等式的逻辑设计细节可以从下面的链接中进行了解:https://medium.com/soda-finance/the-soda-revolution-9185fdb99fc1事件分析总结

该漏洞是由于逻辑设计与代码实现不符而造成。当前常用的单元测试等测试方法以及自动化的测试工具均无法有效的查找到该种与逻辑相关的漏洞。因此,CertiK安全团队有以下安全建议:安全是区块链项目的立足之本,任何区块链项目在上线前需要请专业第三方安全审计团队对项目整体代码进行安全审计。当前区块链检测工具对智能合约的检测均无法检测其逻辑上出现的漏洞,其结果也没有可信的数学证明作为支撑。形式化验证是当前唯一被证明可以产生可信数学证明的软件验证方法。采用基于形式化验证方法的区块链检测工具来验证项目中的安全漏洞,应成为每一个项目在上链前的必经步骤

标签:CERODASODASODDEFILANCER币SODA价格SODA币SODIUM

瑞波币热门资讯
MIN:菲律宾证券交易委员会警告云挖矿公司Mining City为庞氏局

编者按:本文来自Cointelegraph中文,作者:JOSHUAMAPPERSON,Odaily星球日报经授权转载.

1900/1/1 0:00:00
BTC:AAX研报:比特币价格与传统金融市场关联性靠拢

BTC价格波动的变化今年年初以来,BTC的价格波动出现了前所未有的变化。BTC逐渐在向传统市场靠拢。这一点从纳斯达克100指数就可以很好地体现出来.

1900/1/1 0:00:00
BTC:市场缺乏明确单边倾向,价格波动主导调仓思路

编者按:本文来自链闻ChainNews,星球日报经授权发布。9月26日,CFTC公布了最新一期的CME比特币期货周报,统计周期内BTC价格在阶段横盘后出现大幅跳水,行情在统计周期末段的一波急跌跳.

1900/1/1 0:00:00
BTC:10万个BTC涌入以太坊网络,DeFi高收益正在加速吸引BTC持有者

编者按:本文来自巴比特资讯,作者:Kyle,星球日报经授权发布。随着9月初加密市场的调整之后,DeFi协议将价值吸引回其流动性池中,目前已将近10万个比特币转移至以太坊区块链.

1900/1/1 0:00:00
BTC:挖矿难度创新高,枯水期将至,BTC矿工们真的头疼了

编者按:本文来自巴比特资讯,作者:Apatheticco,星球日报经授权发布。对于矿工来说,这个9月是冰火两重天的一个月.

1900/1/1 0:00:00
COIN:库币被盗资金流入Uniswap,加剧CEX安防挑战

编者按:本文来自蜂巢财经News,作者:问道,Odaily星球日报经授权转载。截至今日凌晨0时,受库币交易所被盗影响的OCEAN、ORN、KAI三个ERC-20资产项目均完成了升级,其中ORN、.

1900/1/1 0:00:00