ISS:假如川普可以虛假計票：Mercurity.finance智能合約安全漏洞分析

今年美國大選雖說有了廣泛意義上的塵埃落定，但競選結果并未明確。如今拜登團隊宣布勝選，美國媒體紛紛宣布拜登當選下屆美國總統。而另一方面，川普拒絕接受敗選結果，他持續進行計票，并宣稱要采取法律行動。造成如今這個混亂結果的首要原因在于美國沒有設立獨立的對大選事務具有權力的權威性的選舉委員會，在默認情況下，是新聞機構承擔了這個角色。假如川普獲得過大的權力，控制了大多新聞機構，營造虛假選票，結果尚未可知。這就意味著某種程度上，可以說是極盡中心化的“推特治國”后的又一“媒體選舉”。從選舉，到互聯網，到區塊鏈，2020年，中心化不再是權威的體現，而是“獨斷”、“專權”的代名詞。北京時間11月9日，CertiK安全研究團隊發現DeFi項目Mercurity.finance智能合約代碼部分存在中心化風險。項目擁有者擁有過大權限，可以進行任意數目的鑄幣，并為給定賬戶提供任意數目的獎勵。技術步驟分析如下：ERC20Token.sol代碼地址：https://github.com/MER-DAO/MEE-core/blob/main/contracts/tokens/ERC20Token.sol部署地址：https://etherscan.io/address/0xe1b583dc66e0a24fd9af2dc665f6f5e48978e106#code

過去4天Wintermute Trading錢包共向交易所存入1110萬枚YGG:8月7日消息，據Lookonchain監測，過去7天YGG價格上漲近250%。Wintermute Trading錢包在過去4天共向交易所存入1110萬枚YGG（約670萬美元），目前持有250萬枚YGG（約150萬美元）。[2023/8/7 21:29:15]

圖一：ERC20Token智能合約構造函數

Worldcoin完成1.15億美元C輪融資，Blockchain Capital領投:5月25日消息，OpenAI 首席執行官 Sam Altman 共同創立的加密貨幣項目 Worldcoin 背后的公司 Tools for Humanity 宣布完成 1.15 億美元 C 輪融資，Blockchain Capital 領投，其中還包括 Andreessen Horowitz 的加密團隊，以及 Bain Capital Crypto 和 Distributed Global。新資金將用于產品擴展和招聘新員工，以壯大這家初創公司的 150 人團隊。[2023/5/25 10:40:03]

圖二：onlyIssuer修飾詞

美聯儲調整銀行監管的政策可能會限制州立銀行的加密貨幣活動:1月28日消息，美國聯邦儲備委員會于1月27日宣布，它正在發布一份關于限制州立銀行的政策聲明，其中詳細討論了加密技術。聲明稱：“委員會還沒有確定任何機構允許州立銀行持有大多數加密貨幣資產。并且沒有任何聯邦法規或規則明確允許州立銀行持有加密貨幣資產作為本金。因此，根據《聯邦儲備法案》第9(13)條，委員會推定禁止州成員銀行從事此類活動。”

聲明還表示，州立銀行已提議發行“美元代幣”，即穩定幣，這些銀行現在將受到OCC第1174和1179號解釋函的約束，國家銀行也是如此。它補充道:“委員會普遍認為，在公開、公共和/或去中心化網絡或類似系統上發行代幣很可能不符合安全可靠的銀行業務慣例。”發表聲明的同一天，美聯儲拒絕了懷俄明州托管銀行加入聯邦儲備系統的申請。

據悉，該新政策旨在為有存款保險的國有銀行、沒有存款保險的國有銀行和由貨幣監理署 (OCC) 監管的國家銀行創造一個公平的競爭環境并限制監管套利，允許它們擁有相同的允許的活動范圍。該聲明將在聯邦公報上公布后生效。（Cointelegraph）[2023/1/28 11:33:33]

圖三:具有鑄幣方法的issue函數如圖一所示，項目擁有者在ERC20Token.sol智能合約中的構造函數可以將自身設置為issuer身份。由于在智能合約部署時，其構造函數會被自動執行，因此項目擁有者會自動成為issuer。通過圖二中顯示的onlyIssuer修飾詞的限制，任意擁有issuer身份的外部調用者將可以執行任意被onlyIssuer修飾詞修飾的函數。因此，擁有issuer身份的項目擁有者可以執行圖三中具有鑄幣方法的issue函數，從而可以為任意賬戶鑄造任意數目的代幣。除此之外，該項目還存在一個允許項目擁有者提供代幣獎勵的后門。該后門存在與AwardContract.sol智能合約中。AwardContract.sol代碼地址：https://github.com/MER-DAO/MEE-core/blob/main/contracts/AwardContract.sol部署地址：https://etherscan.io/address/0x8Ea43ce113456f45defd0E27e809d719b9CA2362#code

BlockFi目前估值已不足5億美元，曾借給三箭資本10億美元:6月30日消息，Morgan Creek Digital 投資者電話會議泄露的錄音顯示，Morgan Creek 正試圖迅速籌集2.5億美元現金以購買BlockFi的多數股權，擬議的新一輪融資中BlockFi的估值低于5億美元，BlockFi去年曾以超過50億美元的估值完成融資。

Morgan Creek的管理合伙人Mark Yusko表示，Morgan Creek的報價是對FTX的直接反擊，Yusko在電話會議上告訴投資者，如果FTX行使其選擇權，它將有效地從BlockFi的股東表中清除他們所有的現有股權。此前，FTX與BlockFi簽署了一份條款清單，將為其提供2.5億美元的循環信貸額度。

此外，BlockFi向3AC提供了約10億美元的貸款，抵押品是三分之二的比特幣和三分之一的GBTC，超額抵押率為30%，6月16日，BlockFi首席執行官在推特上證實，該公司已經清算了一個大客戶的超額抵押貸款。[2022/6/30 1:40:39]

圖四：AwardContract智能合約構造函數

圖五：onlyGovernor修飾詞

圖六：addFreeAward智能合約函數當AwardContract.sol被項目擁有者部署到區塊鏈上時，AwardContract合約的構造函數會被自動執行，也就意味著圖四中43行代碼被自動執行后，項目擁有者會自動被賦予governor身份。擁有governor身份的外部調用者可以類似的執行任意被onlyGovernor修飾詞修飾的智能合約函數，例如圖六中所示addFreeAward函數。由于所有外部調用者都可以通過調用圖七中withdraw函數來將屬于自己的獎勵取出，因此當governor身份的外部調用者為某一個賬戶添加了某一數量的獎勵后，A賬戶可以對該函數進行調用，并通過246行的判斷條件檢查后，通過在281行調用safeIssue()函數來取出被添加的獎勵。

圖七：withdraw智能合約函數綜上分析，Mercurity.finance項目中智能合約存在的后門漏洞均來自于項目擁有者權限過大。在該類中心化治理機制中，項目擁有者得到了可以隨時獲利或者摧毀項目經濟系統的權利。CertiK安全研究團隊建議Mercurity.finance更新項目中采用的治理系統，引入社區管理的機制。CertiK在此提醒廣大用戶：1.合約代碼需要經過嚴格的安全驗證和審計才可被允許公布。2.投資者在投資采用中心化治理機制的項目時需衡量風險，謹慎投資

Tags：BLOISSLOCTRABLOCK幣ISS幣blockchain錢包中文版下載TRAXX

狗狗幣價格