北京时间8月31日和9月1日,CertiK安全研究团队发现Sushiswap仿盘的两个项目YUNoFinance(YUNO)与KIMCHI.finance(KIMCHI),其智能合约均存在漏洞。如果利用该漏洞,智能合约拥有者可以无限制地增发项目对应的代币数目,导致项目金融进度通胀并最终崩溃。
无限增发漏洞
CertiK:Push Protocol项目Discord服务器已被入侵:金色财经消息,据CertiK监测,Push Protocol项目Discord服务器已被入侵,有黑客发布钓鱼链接。在团队确认已重获对服务器的控制之前,请勿点击任何链接。[2023/5/30 11:47:40]
以Yuno项目中智能合约为例,CertiK安全研究团队对于该无限增发漏洞进行了详细分析,技术细节如下:在Yuno项目中的MasterChef.sol智能合约第1354行中,dev方法可以允许当前拥有devaddr身份的智能合约调用者,将devaddr身份转移给另外一个地址。
Larry Cermak:Celsius可能尚有15亿美元资产:6月14日消息,The Block研究副总裁Larry Cermak昨日发推称:“为了透明度起见,我将公布我的数据库,这里面有所有我认为属于Celsius的钱包。目前,Celsius仍有大约15亿美元资产。需要言明的是,链上标签不是一门精确的科学。我可能会犯一些错误。这个列表可能不完整,我在追踪它们的这些年里可能给其中一些贴上了错误的标签。”[2022/6/14 4:25:23]
截图出自:https://etherscan.io/下图中可以看到在智能合约1282行的mint方法是由修饰器onlyOwner进行限制,修饰器onlyOwner决定了只能是智能合约拥有者来执行这个合约。
Balancer Labs宣布推出稳定池:金色财经报道,Balancer Labs发推文宣布推出稳定池,使之成为首个具备3种池子的AMM。目前Balancer Labs已经创建2个初始稳定池,分别是:staBAL3-BTC—WBTC/renBTC/sBTC及staBAL3- USD—DAI/USDC/USDT。[2021/7/9 0:37:58]
Balancer 2.0版本将降低DeFi交易的Gas费用:金色财经报道,去中心化交易协议Balancer将发布2.0版本,该版本将被委托的所有资产放在一个大的保险库中。这将极大地降低去中心化金融(DeFi)交易的Gas费用,因为用户可以根据需要随意交易,只需要为进入和离开Balancer支付Gas费用。[2021/2/3 18:44:48]
以上三截图均出自:https://etherscan.io/拥有devaddr身份的调用者,当其身份恰好同时为owner身份的时候,可以通过调用MasterChef.sol智能合约1282行的mint方法,来无限制的增发代币。1282行的mint方法会继续调用1130行的mint方法,并继续由1130行mint方法调用1044行的_mint方法,并最终完成代币增发的操作。Kimichi项目智能合约中存在的无限增发漏洞与以上漏洞基本相同,因此在这里不进行重复叙述。如果owner和devaddr的地址如果相同,那么在外部没有对智能合约拥有者限制的情况下,智能合约拥有者拥有权利增发任意数量的代币,这将会将投资者置于风险之中。那么Yuno和Kimichi这两个项目中的devaddr和owner是否为同一人呢?是否有其他外部制约机制可以限制这两个项目的智能合约拥有者呢?下图为Yuno项目MasterChef.sol智能合约中拥有devaddr和owner身份的地址。
截图出自:https://etherscan.io/下图为Kimichi项目中KimchiChef.sol智能合约中拥有devaddr和owner身份的地址。
截图出自:https://etherscan.io/从上两图中可以看到,Yuno项目中拥有devaddr和owner身份的地址为同一个,因此其智能合约拥有者有权利进行无限制的代币增发。而Kimichi项目中拥有devaddr和owner身份不同,但由于devaddr的身份可以进行转移,因此也存在一定的风险。目前措施
为了确保无限增发漏洞不会被触发,对于Yuno和Kimichi两个项目的智能合约拥有者必须由外部进行限制。当前已经实施的限制条件与Sushiswap项目一致,即对任何由智能合约拥有者进行的智能合约操作,均有48小时的延迟。任何来自智能合约拥有者的操作都会被所有投资者观察到,并有48小时进行应对操作。CertiK安全团队建议
当前DeFi以及相关Farming项目异常火爆,由于区块链项目对于项目代码公开性有要求,因此上线新项目门槛极低。如果盲目借鉴其他项目,任意漏洞都可能被引入到项目中。因此在项目上线之前,应该对项目进行严格的安全审计。从投资者角度,当前Farming项目动辄百分之几千的回报率,极易促使投资者在没有对项目本身有足够了解的情况下进行盲目投资。例如SushiSwap,Yuno以及Kimchi三个项目均没有经过严谨的安全验证就快速上线。投资者可能会被巨大的利益回报迷惑,将宝贵资金投入到有极大风险的智能合约中。
编者按:本文来自链闻ChainNews,星球日报经授权发布。撰文:PaulVeradittakit,PanteraCapital风投合伙人编译:詹涓3.8亿美元,这是一个名为Swerve的新项目.
1900/1/1 0:00:00Odaily星球日报译者|念银思唐摘要:-很多比特币已经转移至以太坊。-就在今年,超过5亿美元的比特币在以太坊上被代币化。-这些比特币被置换为基于以太坊的比特币,并用于各种DeFi应用.
1900/1/1 0:00:00本文来自NewsBTC,作者:NickChongOdaily星球日报译者|余顺遂Yearn.finance是以太坊DeFi领域最热门的加密资产之一,在过去一天里价格表现非常出色.
1900/1/1 0:00:00近期华尔街在加密货币领域的动作不断,最值得注意的就是资产管理巨头富达旗下经纪交易商在8月底推出了名为WiseOrigin的比特币指数基金,10万美金起投,合格投资者均能够参与该投资.
1900/1/1 0:00:00编者按:本文来自Cointelegraph中文,作者:MARIEHUILLET,Odaily星球日报经授权转载。区块链透明度研究所已发布了2020年的市场数据完整性报告.
1900/1/1 0:00:00编者按:本文来自链闻ChainNews,星球日报经授权发布。撰文:DerekSchloss与StephenMcKeon,均为科技风投CollaborativeFund合伙人编译:LeoYoung.
1900/1/1 0:00:00