CER:CertiK：SushiSwap仿盤YUNO與KIMCHI智能合約漏洞或存安全隱患

北京時間8月31日和9月1日，CertiK安全研究團隊發現Sushiswap仿盤的兩個項目YUNoFinance(YUNO)與KIMCHI.finance(KIMCHI)，其智能合約均存在漏洞。如果利用該漏洞，智能合約擁有者可以無限制地增發項目對應的代幣數目，導致項目金融進度通脹并最終崩潰。

無限增發漏洞

The Block Research副總裁Larry Cermak升任CEO:3月31日消息，The Block Research 副總裁 Larry Cermak 在社交媒體上發文表示，其個人將出任 The Block 首席執行官一職。同時，加密做市商 Wintermute 創始人兼首席執行官 Evgeny Gaevoy 正加入 The Block 董事會。

Larry Cermak 表示，目前加密市場的環境與 5 年前大不相同，The Block 需要調整以更快地適應市場波動，其個人當前的目標是引導 The Block 實現盈利，工作將專注于創收并精簡其員工隊伍。The Block 未來仍將致力于加倍投入研究、數據和新聞，確保繼續提供高質量內容。[2023/3/31 13:38:03]

以Yuno項目中智能合約為例，CertiK安全研究團隊對于該無限增發漏洞進行了詳細分析，技術細節如下：在Yuno項目中的MasterChef.sol智能合約第1354行中，dev方法可以允許當前擁有devaddr身份的智能合約調用者，將devaddr身份轉移給另外一個地址。

Balancer 2.0版本將降低DeFi交易的Gas費用:金色財經報道，去中心化交易協議Balancer將發布2.0版本，該版本將被委托的所有資產放在一個大的保險庫中。這將極大地降低去中心化金融（DeFi）交易的Gas費用，因為用戶可以根據需要隨意交易，只需要為進入和離開Balancer支付Gas費用。[2021/2/3 18:44:48]

截圖出自：https://etherscan.io/下圖中可以看到在智能合約1282行的mint方法是由修飾器onlyOwner進行限制，修飾器onlyOwner決定了只能是智能合約擁有者來執行這個合約。

去中心化鏈上資金保險池CertiKShield創建WNXM Shield保險資金池:12月15日消息，區塊鏈安全公司CertiK的去中心化鏈上資金保險池CertiK Shield針對“Nexus Mutual創始人Hugh Karp個人37萬枚NXM被盜”創建WNXM Shield保險資金池，為WNXM持有者提供CertiKShield保險服務。目前所有WNXM的個人持有者均可以加入CertiKShield，購買所需的WNXM Shield，當其資產產生丟失、被盜或無法訪問等情況，CertiKShield可為其提供補償。

購買CertiKShield服務后，相應比例的CertiKShield資金保險池將被鎖定，以確保有足夠的抵押資產用于理賠。購買Shield所支付的費用將作為獎勵直接發送給擔保提供者。擔保提供者會提前提供自己的加密貨幣作為抵押品，用于支付獲批的索賠申請。[2020/12/15 15:13:31]

CertiK 基金會發出聲明：注意冒充 “CertiK” 及“CertiK基金會”等名義的不法分子:近日，我們發現有不法分子在網上冒充 “CertiK” 及“CertiK基金會”等名義利用代投等方式在中國境內公開募集資金。請大家注意，CertiK基金會不會以任何形式對中國公民進行公開募資。請大家務必擦亮雙眼、提高警惕，不給不法分子以可乘之機。任何消息以官網certik.org為準。CertiK 基金會將啟動法律調查程序，對不法分子追究其法律責任。[2018/6/8]

以上三截圖均出自：https://etherscan.io/擁有devaddr身份的調用者，當其身份恰好同時為owner身份的時候，可以通過調用MasterChef.sol智能合約1282行的mint方法，來無限制的增發代幣。1282行的mint方法會繼續調用1130行的mint方法，并繼續由1130行mint方法調用1044行的_mint方法，并最終完成代幣增發的操作。Kimichi項目智能合約中存在的無限增發漏洞與以上漏洞基本相同，因此在這里不進行重復敘述。如果owner和devaddr的地址如果相同，那么在外部沒有對智能合約擁有者限制的情況下，智能合約擁有者擁有權利增發任意數量的代幣，這將會將投資者置于風險之中。那么Yuno和Kimichi這兩個項目中的devaddr和owner是否為同一人呢？是否有其他外部制約機制可以限制這兩個項目的智能合約擁有者呢？下圖為Yuno項目MasterChef.sol智能合約中擁有devaddr和owner身份的地址。

截圖出自：https://etherscan.io/下圖為Kimichi項目中KimchiChef.sol智能合約中擁有devaddr和owner身份的地址。

截圖出自：https://etherscan.io/從上兩圖中可以看到，Yuno項目中擁有devaddr和owner身份的地址為同一個，因此其智能合約擁有者有權利進行無限制的代幣增發。而Kimichi項目中擁有devaddr和owner身份不同，但由于devaddr的身份可以進行轉移，因此也存在一定的風險。目前措施

為了確保無限增發漏洞不會被觸發，對于Yuno和Kimichi兩個項目的智能合約擁有者必須由外部進行限制。當前已經實施的限制條件與Sushiswap項目一致，即對任何由智能合約擁有者進行的智能合約操作，均有48小時的延遲。任何來自智能合約擁有者的操作都會被所有投資者觀察到，并有48小時進行應對操作。CertiK安全團隊建議

當前DeFi以及相關Farming項目異常火爆，由于區塊鏈項目對于項目代碼公開性有要求，因此上線新項目門檻極低。如果盲目借鑒其他項目，任意漏洞都可能被引入到項目中。因此在項目上線之前，應該對項目進行嚴格的安全審計。從投資者角度，當前Farming項目動輒百分之幾千的回報率，極易促使投資者在沒有對項目本身有足夠了解的情況下進行盲目投資。例如SushiSwap，Yuno以及Kimchi三個項目均沒有經過嚴謹的安全驗證就快速上線。投資者可能會被巨大的利益回報迷惑，將寶貴資金投入到有極大風險的智能合約中。

Tags：CERTIKERTcertikcere幣總量Plastikscertik幣價

萊特幣最新價格