EOS:首发 | Text.finance智能合约安全漏洞分析

北京时间11月12日，CertiK安全研究团队发现DeFi项目text.finance智能合约代码部分存在安全漏洞。

分析之前，先考考大家的眼力，看看下图里面的文字说了什么。

如果看不清，不妨点击图片后把屏幕亮度调至最高。

有的时候，某些不想让你看到的因素，正是通过排版或者这样的方式，被刻意隐藏了起来。

接下来说说该项目中存在的两处漏洞。大家不妨在阅读文章的时候注意一下图中[function函数]的位置。

百度Apollo首发 “Apollo 001”系列纪念数字藏品:金色财经报道，据百度Apollo智能驾驶官方公众号，百度Apollo全网首发首款 “Apollo 001”系列纪念数字藏品，以百度汽车机器人为主体形象，每款对应一个百度Apollo自动驾驶重要里程碑事件。据悉，该数字藏品将于2022年7月8日 09:55发布汽车机器人家族全家福空投款。[2022/7/7 1:58:19]

第一弹：项目拥有者可通过第一处漏洞，将指定数目代币转移到任意地址。

第二弹：项目拥有者可通过第二处漏洞，将任意投资者的流动性池中的资产强制转移到项目拥有者的地址中。

textMiner.sol

LBank蓝贝壳于5月3日20:00首发 CSPR(Casper)，开放USDT交易:据官方公告，5月3日20:00，LBank蓝贝壳上线 CSPR(Casper)，开放USDT交易，同时并开放充值，资料显示，Casper网络是基于CasperCBC规范构建的第一个实时权益证明区块链。Casper旨在加速当今企业和开发人员对区块链技术的采用，同时确保随着网络参与者需求的发展，其在未来仍能保持高性能。[2021/5/3 21:19:51]

部署地址: 

https://etherscan.io/address/0x9858728de38c914c2ea32484a113b6628d984a82#code

金色首发 EOS超级节点竞选投票率达6.49%:金色财经数据播报，截止北京时间6月13日15:50，EOS投票率达6.49%。EOS引力区和EOS佳能作为两个来自中国的超级节点竞选团队暂居第五和第六名。其中EOS引力区的得票总数为903万，占比2.96%；EOS佳能的得票总数为877万，占比2.87%。此前异军突起的EOSflytomars暂居第17位，得票总数为630万，占比2.07%。目前跻身前30名的超级节点竞选团队中，有八个团队来自中国。[2018/6/13]

1. 漏洞一

项目拥有者在textMiner.sol智能合约1000行处实现了withUpdates()函数。该函数的的作用是可以将任意数量的为devaddr地址铸造任意数量的代币。而通过查看图2中devaddr和项目拥有者owner的地址值，可以发现两者相同，因此项目拥有者可以通过该漏洞为devaddr地址铸造任意数目代币。

IMEOS首发 EOS Go公布新增两条复选条件 :据金色财经合作伙伴IMEOS报道：今日，EOS Go在 steemit上公布新增的两条复选条件为：

1. 保证安全的计划：候选节点是否在steemit上发布文章介绍该节点的安全方法和计划，“安全方法”标准是向EOS选民展示安全最佳实践知识和组织实施计划的机会；

2. 立场：描述该节点分享通胀奖励和/或向EOS代币持有人派发股息的立场（候选节点在steemit发布）。主要阐述以下两个问题：

该组织是否会出于任何原因向EOS令牌选民提供支付，包括BP选举和社区建议？

该组织是否有书面的无票付款政策？如果是这样，请提供一个链接。[2018/4/27]

同时，当前的devaddr地址拥有者可以通过图3的dev()函数将devaddr地址值更换到另外一个地址，因此最终项目拥有者可以更换将devaddr地址值更换的方法，向任意地址中铸造任意数目代币。

虽然项目拥有者将图1中的withUpdates()函数设置为不允许智能合约外部调用，但是却有意地在图4中919行实现了允许被外部调用的add()函数，然后通过921行代码调用withUpdates()函数，从而实现向devaddr地址铸造1000000000000000000000000000000数量代币。

图1：第1000行中的withUpdates()函数

图2：devaddr地址以及项目拥有者owner地址

图3：dev()函数

图4：add()函数

2. 漏洞二

图5：emergencyWithdraw()函数

项目拥有者可以通过调用图5中emergencyWithdraw()函数，将某一个特定地址投资者的某一个流动性池中的流动性资产全部取出，并转移到项目拥有者的地址中。

该emergencyWithdraw()函数是一个基于正确的emergencyWithdraw()函数。因此就算审视合约者不恶意揣测，也很难说项目方不是恶意改写，并添加了该漏洞。

从下图6的对比中可以发现，Sushiswap允许投资者通过调用emergencyWithdraw()函数，紧急取出属于自己的流动性资产，而在text.finance中却仅允许项目拥有者来调用该函数，同时允许项目拥有者取出属于任何投资者的流动性资产。

图6：text.finance和sushiswap项目中emergencyWithdraw()函数实现对比

CertiK安全研究团队认为当投资者在对DeFi项目进行投资时，不仅需要对智能合约常见的代码有所了解，更需要谨慎地审视具体代码的实现逻辑。否则极易掉入类似该项目中的恶意漏洞陷阱当中。

对于非技术背景的投资者，更需要了解项目是否经过严谨的技术审计。从Text.finance项目的恶意漏洞中可以看出，盲目投资一个没有经过严格审计的项目，或引发极大风险，并造成难以估量的损失。

标签：EOSADDWITHDEVeos币最新利好消息DADDYDBWITH价格devt币最新消息

BNB价格热门资讯