以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

RAT:CertiK:SushiSwap智能合約漏洞事件分析

Author:

Time:1900/1/1 0:00:00

北京時間8月28日,CertiK安全研究團隊發SushiSwap項目智能合約中存在多個安全漏洞。該漏洞可能被智能合約擁有者利用,允許擁有者進行包括將智能合約賬戶內的代幣在沒有授權的情況下取空等操作在內的任意操作。同時該項目智能合約還存在嚴重的重入攻擊漏洞,會導致潛在攻擊者的惡意代碼被執行多次。技術解析

安全機構:Gate.io蟬聯CER全球交易平臺安全測評第一名:根據國際第三方安全機構CER 8月最新交易所安全測評排名顯示,Gate.io的網絡安全分數升至9.65分,蟬聯CER全球交易平臺安全測評第一名,同時獲評全球最值得信任的20個交易平臺稱號首位,在CER、CoinGecko等多個榜單中位居榜首。此前7月,Gate.io已在該評分中獲得9.38分,在全球100個交易平臺中排名第一。CER成立于2018年,是業內第一個公開批評現有交易量指標的加密貨幣交易所排名平臺,其安全標準被CoinGecko、CoinMarketCap等權威行情網站所廣泛使用。[2020/9/1]

Balancer前端短時屏蔽YFII流動性挖礦頁面,團隊已道歉:據YFII社群表示,Balancer前端代碼曾短時屏蔽YFII的流動性挖礦頁面,代碼顯示將其定義為「ScamPool(欺詐資金池)」。據了解,該情況不影響資金安全,但充提過程會變得十分繁瑣。且屏蔽YFII流動性挖礦頁面后,意味著新用戶的進入將會變得十分困難。不過截止發稿時,Balancer官方已道歉并重新開發頁面。

據社群透露,YFII為中國團隊開發項目。由DeFi協議yearn.finance分叉而來,其分叉原因是由yearn.finance社區治理YIP-8提出了增發提案,對每個礦池的每周增發量進行減半。但YIP-8提案因最終參與投票數量不足未獲得通過,因此對該提案贊成的社區成員發起了硬分叉,并創建了與YFI基本相同的新項目名為YFII。

Balancer前后端開發主管Timur Badretdinov表示是自己的操作失誤導致了YFII池子出現被屏蔽問題,目前已重新開放了YFII的流動性挖礦頁面,他對此帶來的影響表示抱歉。(BlockBeats)[2020/7/29]

MasterChief.sol:131圖片來源:https://github.com/sushiswap/在SushiSwap項目MasterChief.sol智能合約的131行中,智能合約的擁有者可以有權限來設定上圖中migrator變量的值,該值的設定可以決定由哪一個migrator合約的代碼來進行后面的操作。

動態 | 本體與Blocery DApp合作:本體已投資Blocery,并將為其提供在Ontology區塊鏈上開發應用程序的工具。Blocery將于明年第一季度遷移到本體鏈。(U.Today)[2019/11/7]

MasterChief.sol:136。圖片來源:https://github.com/sushiswap/當migrator的值被確定之后,migrator.migrate(lpToken)也就可以被隨之確定。由migrate的方法是通過IMigratorChef的接口來進行調用的,因此在調用的時候,migrate的方法中的邏輯代碼會根據migrator值的不同而變化。簡而言之,如果智能合約擁有者將migrator的值指向一個包含惡意migrate方法代碼的智能合約,那么該擁有者可以進行任何其想進行的惡意操作,甚至可能取空賬戶內所有的代幣。同時,在上圖142行中migrator.migrate(lpToken)這一行代碼執行結束后,智能合約擁有者也可以利用重入攻擊漏洞,再次重新執行從136行開始的migrate方法或者其他智能合約方法,進行惡意操作。該漏洞的啟示

·智能合約擁有者不應該擁有無限的權利,必須通過社區監管及治理(governance)來限制智能合約擁有者并確保其不會利用自身優勢進行惡意操作。·智能合約代碼需要經過嚴格的安全驗證和檢查之后,才能夠被允許公布。當前SushiSwap項目創建者表示,已將該項目遷移到時間鎖定合約,即任意SushiSwap項目智能合約擁有者的操作會有48小時的延遲鎖定。在此CertiK技術團隊建議大家在智能合約公布前,盡量尋找專業團隊做好審計工作,以免項目出現漏洞造成損失。

Tags:RATCERYFIATORUnited Emirate Decentralized Coincere幣合約地址HYFII幣GATOR價格

比特幣行情
OIN:BitcoinABC將分叉脫離BCH,新幣將免費空投給BCH持有者

編者按:本文來自金色財經,Odaily星球日報經授權轉載。BitcoinABC和Deadalnix將于11月15日分叉脫離BCH.

1900/1/1 0:00:00
比特幣:個人貨幣的烏托邦

編者按:本文來自lusen,Odaily星球日報經授權轉載。過去稱為“18世紀的奇跡”的天才莫扎特其實出生的家庭并不富裕,雖然他的父親是小有名氣的音樂教師,但是讓莫扎特成名的第一次歐洲巡演還是依.

1900/1/1 0:00:00
EFI:「古典」投資人:DeFi與Farming的這幾個月

從YFI到紅薯、再到一系列的壽司、胡蘿卜、三文魚等「食物系」項目快速更迭,有人曬出了千倍百倍的收益,也有人曬出「一夜回歸DeFi前」的爆倉截圖,同時.

1900/1/1 0:00:00
OIN:Arweave的潛力是復興亞歷山大圖書館,而非Filecoin替代品

編者按:本文來自鏈聞ChainNews,撰文:劉毅,CdotNetwork創始人,RandomCapital合伙人,星球日報經授權發布.

1900/1/1 0:00:00
DEFI:深入了解DeFi風投:34個DeFi項目獲5億美元投資,VC偏愛借貸項目

編者按:本文來自區塊律動BlockBeats,Odaily星球日報經授權轉載。盡管在上周末Sushiswap創始人的大量套現導致加密市場出現短時急跌,市場一度信心受挫.

1900/1/1 0:00:00
EST:波卡DOT有哪些用途?

DOT有哪些用途?DOT的鎖定是怎么一回事?如何獲取DOT?DOT、KSM、測試網代幣有什么區別?如果你想了解這些問題,那么就往下看吧.

1900/1/1 0:00:00
ads