RAT:CertiK：SushiSwap智能合約漏洞事件分析

北京時間8月28日，CertiK安全研究團隊發SushiSwap項目智能合約中存在多個安全漏洞。該漏洞可能被智能合約擁有者利用，允許擁有者進行包括將智能合約賬戶內的代幣在沒有授權的情況下取空等操作在內的任意操作。同時該項目智能合約還存在嚴重的重入攻擊漏洞，會導致潛在攻擊者的惡意代碼被執行多次。技術解析

安全機構：Gate.io蟬聯CER全球交易平臺安全測評第一名:根據國際第三方安全機構CER 8月最新交易所安全測評排名顯示，Gate.io的網絡安全分數升至9.65分，蟬聯CER全球交易平臺安全測評第一名，同時獲評全球最值得信任的20個交易平臺稱號首位，在CER、CoinGecko等多個榜單中位居榜首。此前7月，Gate.io已在該評分中獲得9.38分，在全球100個交易平臺中排名第一。CER成立于2018年，是業內第一個公開批評現有交易量指標的加密貨幣交易所排名平臺，其安全標準被CoinGecko、CoinMarketCap等權威行情網站所廣泛使用。[2020/9/1]

Balancer前端短時屏蔽YFII流動性挖礦頁面，團隊已道歉:據YFII社群表示，Balancer前端代碼曾短時屏蔽YFII的流動性挖礦頁面，代碼顯示將其定義為「ScamPool（欺詐資金池）」。據了解，該情況不影響資金安全，但充提過程會變得十分繁瑣。且屏蔽YFII流動性挖礦頁面后，意味著新用戶的進入將會變得十分困難。不過截止發稿時，Balancer官方已道歉并重新開發頁面。

據社群透露，YFII為中國團隊開發項目。由DeFi協議yearn.finance分叉而來，其分叉原因是由yearn.finance社區治理YIP-8提出了增發提案，對每個礦池的每周增發量進行減半。但YIP-8提案因最終參與投票數量不足未獲得通過，因此對該提案贊成的社區成員發起了硬分叉，并創建了與YFI基本相同的新項目名為YFII。

Balancer前后端開發主管Timur Badretdinov表示是自己的操作失誤導致了YFII池子出現被屏蔽問題，目前已重新開放了YFII的流動性挖礦頁面，他對此帶來的影響表示抱歉。（BlockBeats）[2020/7/29]

MasterChief.sol:131圖片來源：https://github.com/sushiswap/在SushiSwap項目MasterChief.sol智能合約的131行中，智能合約的擁有者可以有權限來設定上圖中migrator變量的值，該值的設定可以決定由哪一個migrator合約的代碼來進行后面的操作。

動態 | 本體與Blocery DApp合作:本體已投資Blocery，并將為其提供在Ontology區塊鏈上開發應用程序的工具。Blocery將于明年第一季度遷移到本體鏈。（U.Today）[2019/11/7]

MasterChief.sol:136。圖片來源：https://github.com/sushiswap/當migrator的值被確定之后，migrator.migrate(lpToken)也就可以被隨之確定。由migrate的方法是通過IMigratorChef的接口來進行調用的，因此在調用的時候，migrate的方法中的邏輯代碼會根據migrator值的不同而變化。簡而言之，如果智能合約擁有者將migrator的值指向一個包含惡意migrate方法代碼的智能合約，那么該擁有者可以進行任何其想進行的惡意操作，甚至可能取空賬戶內所有的代幣。同時，在上圖142行中migrator.migrate(lpToken)這一行代碼執行結束后，智能合約擁有者也可以利用重入攻擊漏洞，再次重新執行從136行開始的migrate方法或者其他智能合約方法，進行惡意操作。該漏洞的啟示

·智能合約擁有者不應該擁有無限的權利，必須通過社區監管及治理(governance)來限制智能合約擁有者并確保其不會利用自身優勢進行惡意操作。·智能合約代碼需要經過嚴格的安全驗證和檢查之后，才能夠被允許公布。當前SushiSwap項目創建者表示，已將該項目遷移到時間鎖定合約，即任意SushiSwap項目智能合約擁有者的操作會有48小時的延遲鎖定。在此CertiK技術團隊建議大家在智能合約公布前，盡量尋找專業團隊做好審計工作，以免項目出現漏洞造成損失。

Tags：RATCERYFIATORUnited Emirate Decentralized Coincere幣合約地址HYFII幣GATOR價格

比特幣行情