CER:CertiK：Based智能合约出现漏洞，重新部署其一号池事件分析

“亡羊补牢，为时未晚”，这句话在生活中的大部分时候均适用。然而，在面临网络安全时，牢破也许就会造成无法挽回的损失。在安全问题未造成不可弥补的损失前就被发现，或是一开始便做好万全准备，才是身为区块链从业者的安全第一要义。北京时间8月14日下午，CertiK安全技术团队发现DeFi匿名耕种项目Based官方宣布有攻击者通过调用Based智能合约中的某一个函数，将一号池冻结，同时宣布将重新部署其一号池。官方发布推特称，有黑客试图将“Pool1”永久冻结，但尝试失败。而“Pool1”将继续按计划进行。CertiK通过分析该智能合约，认为这次冻结Based项目一号池事件，是一次由于存在智能合约漏洞导致的事故。

Cerebras Systems与阿联酋G42公司达成1亿美元的AI超级计算机协议:金色财经报道，Cerebras Systems宣布与总部位于阿拉伯联合酋长国(UAE)的技术集团G42签署了一项价值约1亿美元的协议。该公司在7月20日的一份声明中表示，该协议要求提供第一台人工智能(AI)超级计算机，并有可能再交付多达9台。

总部位于硅谷的Cerebras公司表示，G42已承诺收购其“秃鹰银河”系统中的3台，这是一个由9台相互连接的超级计算机组成的创新网络。这个网络中的第一台超级计算机，被称为秃鹰银河1号(CG-1)，展示了4 exaFLOPs的性能，包含5400万个核。

这些系统将在美国制造，以加快部署。该公司表示，第一个系统计划于今年投入使用，而其余两个系统CG-2和CG-3预计将于2024年初上线。[2023/7/21 15:51:14]

CertiK：Zk Secure (ZK)遭遇闪电贷款攻击:金色财经报道，据CertiK监测，Zk Secure (ZK)遭遇闪电贷款攻击，目前共有7千美元被盗。请保持警惕。[2023/6/3 11:55:33]

事件经过

Based团队部署一号池智能合约，部署地址为0x77caF750cC58C148D47fD52DdDe43575AA179d1f。Based官方通过调用智能合约中的renounceOwnership函数来声明智能合约所有者，但未进行智能合约初始化。由于在Based智能合约中initialize函数被错误的设置为可以被外部调用，因此造成在初始化智能合约过程中，一号池的智能合约被外部攻击者用错误的值初始化。错误的初始化造成Based官方无法再次初始化一号池的智能合约，因此造成一号池被冻结，任何质押行为都无法完成。Based官方决定放弃该智能合约，重新部署一号池智能合约。智能合约技术细节

CertiK宣布融资6000万美元，投资方包括SoftBank Vision Fund II与Tiger Global:金色财经消息，Web3和区块链安全公司CertiK宣布融资6000万美元，投资方包括软银愿景基金2（SoftBank Vision Fund II）和Tiger Global，标志着软银首次涉足Web3安全领域。这也意味着该公司在9个月的时间里总共融资2.9亿美元，进一步巩固了其独角兽地位。

此次融资正值区块链社区围绕Web3应用程序开发引领增长，并为虚拟生态系统创建新的用例，特别是在游戏、NFT和DeFi方面之际。CertiK的营销副总裁Monier Jalal表示：“随着Web3开发和随之而来的黑客攻击趋势的增加，这种巨大的影响推动了对Web3安全的需求。”

4月7日消息，CertiK宣布近日完成8800万美元B3轮融资，估值达到20亿美元，此次融资由Insight Partners、Tiger Global和Advent International领投，高盛、 Sequoia Capital和Lightspeed Venture Partners等参投。（Cointelegraph）[2022/4/22 14:42:04]

1.Based团队在部署智能合约后，没有及时的调用下图的initialize函数来初始化智能合约的设置：

Cere Network与Bluzelle达成合作，为Cere提供去中心化数据库:官方消息，波卡生态去中心化数据云平台Cere Network与去中心化数据库服务平台Bluzelle达成合作。Bluzelle将改进Cere目前的数据存储系统，提高Cere的数据灵活性、可扩展性和安全性，并使企业能够以最优化的方式利用Cere生态系统应用程序生态系统。

作为合作伙伴关系的一部分，Bluzelle将加入SaaS-DeFi联盟，该联盟旨在为企业DeFi空间建立通用协议标准，并改善企业与DeFi生态系统之间的通信。SaaS-DeFi联盟的其他成员包括Binance Smart Chain，Elrond，Chainlink，Matic，Reef。[2021/3/31 19:33:02]

2.外部调用者利用Based团队在部署和初始化智能合约之间的时间差，乘机调用了下图中671行被错误设置调用范围的initialize函数，抢先初始化了一号池的智能合约：

3.上图两个initialize函数都是由initializer的修饰符修饰。根据其中代码，如果调用了其中一个initialize函数，另外一个initialize函数就无法被调用。initializer修饰符代码如下图所示，这造成了Based官方失去了初始化函数的机会：

4.综上因素，Based智能合约无法被官方正确初始化，因此任何质押行为都无法进行。质押失败的交易记录：

如何避免事件发生

该次事件本质上是由智能合约漏洞导致的，但如果Based团队提早注意到这个漏洞，提前初始化智能合约，可以完全规避这次危险，避免一号池被冻结。因此，CertiK安全技术团队提出如下建议：部署智能合约时应准备好初始化智能合约所需要的命令脚本等工具，及时初始化智能合约，避免攻击者利用部署操作和初始化操作之间的时间差抢先初始化或者操纵智能合约。了解智能合约的运行原理和技术细节，不要盲目的采用其他的智能合约代码。邀请专业的安全团队对其智能合约进行审计，保证智能合约的安全性和可靠性。我们绝不仅仅是寻找漏洞，而是要消除哪怕只有0.00000000001%被攻击的可能性。

标签：CERBASEBASBASEDAnimal ConcertsMBASE币BASH2BASED币

fil币价格今日行情热门资讯