木星链 木星链
Ctrl+D收藏木星链
首页 > 火必 > 正文

RAT:首发 | Sushiswap智能合约安全漏洞事件分析

作者:

时间:1900/1/1 0:00:00

北京时间8月28日,CertiK安全研究团队发现sushiswap项目智能合约中存在多个安全漏洞,该漏洞可能被智能合约拥有者利用,允许拥有者进行包括将智能合约账户内的代币在没有授权的情况下取空等操作在内的任意操作。同时该项目智能合约还存在严重的重入攻击漏洞,会导致潜在攻击者的恶意代码被执行多次。

技术步骤:

MasterChief.sol:131https://github.com/sushiswap/sushiswap/blob/master/contracts/MasterChef.sol

首发 | 嘉楠耘智宣布与Northern Data在AI、区块链等高性能计算领域达成战略合作:据官方消息,2020年2月17日,嘉楠耘智宣布与区块链解决方案及数据中心服务提供商Northern Data AG达成战略合作。本次合作的内容涵盖AI、区块链及数据中心运维等高性能计算领域。

嘉楠耘智拥有丰富的高性能计算专用ASIC芯片研发经验。Northern Data AG则专注于区块链和数据中心等高性能计算基础设施的建设。通过本次战略合作,双方将在AI、区块链等新兴领域进一步释放增长潜能。[2020/2/19]

在sushiswap项目智能合约的MasterChief.sol智能合约的131行中,智能合约的拥有者可以有权限来设定上图中migrator变量的值,该值的设定可以决定由哪一个migrator合约的代码来进行后面的操作。

首发 | 刘尧:百度区块链推出天链平台赋能链上业务:12月20日,由CSDN主办的“2019中国区块链开发者大会”12月20日在北京举行。百度智能云区块链产品负责人刘尧以《企业区块链赋能产业创新落地》为主题进行了演讲,他指出:2020年将是区块链企业落地的元年,为了支持中国区块链的产业落地,百度将区块链进行平台化战略升级,依托百度智能云推出天链平台,就是要赋能360行的链上业务创新落地。[2019/12/20]

MasterChief.sol:136https://github.com/sushiswap/sushiswap/blob/master/contracts/MasterChef.sol

金色首发 EOS超级节点竞选投票率达6.49%:金色财经数据播报,截止北京时间6月13日15:50,EOS投票率达6.49%。EOS引力区和EOS佳能作为两个来自中国的超级节点竞选团队暂居第五和第六名。其中EOS引力区的得票总数为903万,占比2.96%;EOS佳能的得票总数为877万,占比2.87%。此前异军突起的EOSflytomars暂居第17位,得票总数为630万,占比2.07%。目前跻身前30名的超级节点竞选团队中,有八个团队来自中国。[2018/6/13]

当migrator的值被确定之后,上图中142行的代码,migrator.migrate(lpToken)也就被随之确定,由migrate的方法是通过IMigratorChef的接口来进行调用的,因此在调用的时候,migrate的方法中的逻辑代码会根据migrator值的不同而变化。

简而言之,如果智能合约拥有者将migrator的值指向一个包含恶意migrate方法代码的智能合约,那么该拥有者可以进行任何其想进行的恶意操作,甚至可能取空所有的账户内的代币。

同时,在上图142行中执行结束migrator.migrate(lpToken)这一行代码后,智能合约拥有者也可以利用重入攻击漏洞,再次重新执行从136行开始的migrate方法或者其他智能合约方法,进行恶意操作。?

当前sushiswap项目创建者表示已经将该项目加入了时间锁定合约的显示,即任意sushiswap项目智能合约拥有者的操作会有48小时的延迟锁定。

该漏洞的启示:

智能合约拥有者不应该拥有无限的权利,必须通过社区监管(governance)来限制智能合约拥有者并确保其不会利用自身优势进行恶意操作;

智能合约代码需要经过严格的安全验证和检查之后,才能够被允许公布。

标签:RAT区块链TORSHIViberate区块链技术通俗讲解pptAviatorshib币价格今日行情走势图

火必热门资讯
GLD:关于支持Elrond(ERD)主网切换为Elrond Gold(EGLD)的公告

亲爱的用户:币安将支持Elrond主网切换为ElrondGold的计划,具体安排如下:香港时间2020年08月30日中午12:00暂停ERD充值、提现业务,进行主网切换.

1900/1/1 0:00:00
USH:SushiSwap启动12小时内锁仓价值超过2.7亿美元,此前CertiK曾警告称存在多个安全漏洞

8月28日晚,去中心化交易平台SushiSwap启动,在不到12小时内,锁仓价值超过2.7亿美元。SushiSwap的逻辑很像Uniswap,也是为提供流动性的用户提供奖励,但玩法有一点不同.

1900/1/1 0:00:00
数字货币:关于QC暂停充提币的公告

公告编号2020082802各位关心ZBG的投资者们和项目方:QC因钱包升级暂停充提币,具体开放时间以公告为准,给您带来不便深感抱歉,敬请谅解.

1900/1/1 0:00:00
HOT:Hotbit 定于8月31日上线 SUSHI (Sushi)

尊敬的用户:Hotbit即将上线SUSHI(Sushi)项目,并开放SUSHI/USDT、SUSHI/BTC、SUSHI/ETH交易对.

1900/1/1 0:00:00
AAB:AAB-AAX Token 简介详情

AAB不仅具有通证属性,也是AAX交易所的有机组成部分,它为用户提供专属权益,也是交易所发展的助推剂.

1900/1/1 0:00:00
okex:据报道,任天堂计划在2021年增强功能的Switch控制台

任天堂可能正在悄悄地开发强大的Switch控制台-但您可能要到明年才能买到。知情人士告诉彭博社,预计这家日本游戏制造商将在2021年推出其游戏机的升级版以及一系列新游戏.

1900/1/1 0:00:00