以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

BASE:CertiK:Based智能合約出現漏洞,重新部署其一號池事件分析

Author:

Time:1900/1/1 0:00:00

“亡羊補牢,為時未晚”,這句話在生活中的大部分時候均適用。然而,在面臨網絡安全時,牢破也許就會造成無法挽回的損失。在安全問題未造成不可彌補的損失前就被發現,或是一開始便做好萬全準備,才是身為區塊鏈從業者的安全第一要義。北京時間8月14日下午,CertiK安全技術團隊發現DeFi匿名耕種項目Based官方宣布有攻擊者通過調用Based智能合約中的某一個函數,將一號池凍結,同時宣布將重新部署其一號池。官方發布推特稱,有黑客試圖將“Pool1”永久凍結,但嘗試失敗。而“Pool1”將繼續按計劃進行。CertiK通過分析該智能合約,認為這次凍結Based項目一號池事件,是一次由于存在智能合約漏洞導致的事故。

CertiK:Poly Network攻擊者已將部分ETH轉至EOA地址:金色財經報道,據CertiK官方推特發布消息稱,Poly Network攻擊者已將約566.4枚ETH轉至EOA地址(0x712)。1007.4枚ETH也被轉入EOA地址(0xcC2bb)。[2023/7/10 10:12:53]

事件經過

Based團隊部署一號池智能合約,部署地址為0x77caF750cC58C148D47fD52DdDe43575AA179d1f。Based官方通過調用智能合約中的renounceOwnership函數來聲明智能合約所有者,但未進行智能合約初始化。由于在Based智能合約中initialize函數被錯誤的設置為可以被外部調用,因此造成在初始化智能合約過程中,一號池的智能合約被外部攻擊者用錯誤的值初始化。錯誤的初始化造成Based官方無法再次初始化一號池的智能合約,因此造成一號池被凍結,任何質押行為都無法完成。Based官方決定放棄該智能合約,重新部署一號池智能合約。智能合約技術細節

SaucerSwap:Hedera網絡被攻擊,建議用戶撤回流動資金:3月10日消息,Hedera 上 DeFi 項目 SaucerSwap 發推稱,一個持續的漏洞攻擊了 Hedera 網絡,該漏洞利用的目標是智能合約中的反編譯過程。攻擊者已經攻擊了包含包裝資產的 Pangolin 和 HeliSwap 池。不確定其他 HTS 代幣是否也有風險。目前還沒有關于 SaucerSwap 用戶資金被盜的報道,但作為預防措施,鼓勵大家立即撤回流動資金。

此前消息,HBAR 基金會發推稱,Hedera 網絡上 DApp 及其用戶正在受網絡異常影響,基金會正在與受影響的合作伙伴進行溝通,幫助解決問題。[2023/3/10 12:53:14]

1.Based團隊在部署智能合約后,沒有及時的調用下圖的initialize函數來初始化智能合約的設置:

NFT游戲項目Illuvium通過BalancerLBP籌集到3800萬美元:4月3日消息,NFT游戲項目Illuvium已通過BalancerLBP籌集到3800萬美元,期間交易量達到9000萬美元。此前報道,Illuvium于UTC時間3月30日15時通過BalancerLBP開啟為期72小時的代幣分配活動,共計劃發行100萬個ILV代幣,初始價格為50美元。[2021/4/3 19:43:24]

動態 | CoolBitX和MetaCert合作 阻止數字貨幣地址網絡釣魚攻擊:據CoolBitX官網消息,硬件錢包開發商CoolBitX宣布與安全軟件公司MetaCert合作,為數字貨幣交易提供安全性和透明度。CoolBitX將MetaCert協議的地址注冊表直接集成到CoolWallet S移動應用程序中。[2018/7/31]

2.外部調用者利用Based團隊在部署和初始化智能合約之間的時間差,乘機調用了下圖中671行被錯誤設置調用范圍的initialize函數,搶先初始化了一號池的智能合約:

3.上圖兩個initialize函數都是由initializer的修飾符修飾。根據其中代碼,如果調用了其中一個initialize函數,另外一個initialize函數就無法被調用。initializer修飾符代碼如下圖所示,這造成了Based官方失去了初始化函數的機會:

4.綜上因素,Based智能合約無法被官方正確初始化,因此任何質押行為都無法進行。質押失敗的交易記錄:

如何避免事件發生

該次事件本質上是由智能合約漏洞導致的,但如果Based團隊提早注意到這個漏洞,提前初始化智能合約,可以完全規避這次危險,避免一號池被凍結。因此,CertiK安全技術團隊提出如下建議:部署智能合約時應準備好初始化智能合約所需要的命令腳本等工具,及時初始化智能合約,避免攻擊者利用部署操作和初始化操作之間的時間差搶先初始化或者操縱智能合約。了解智能合約的運行原理和技術細節,不要盲目的采用其他的智能合約代碼。邀請專業的安全團隊對其智能合約進行審計,保證智能合約的安全性和可靠性。我們絕不僅僅是尋找漏洞,而是要消除哪怕只有0.00000000001%被攻擊的可能性。

Tags:CERBASEDBASEBASSoccer VsBased MoneyMBASE價格pbaseio

比特幣價格實時行情
EFI:通過數字財富獲得被動收入:深入研究加密收益、抵押和計息賬戶

Odaily星球日報譯者|Moni 在過去的兩年時間里,允許加密資產持有者獲取收益的投資工具大多呈現出指數級增長,在一些去中心化金融平臺上,任何人都可以通過多種途徑獲得被動收入.

1900/1/1 0:00:00
BTS:參與DeFi項目的風險分析

我投資數字貨幣的風格是長線投資,但是偶爾也會關注一下一些談短線操作的文章。這些文章基本上總會在某個幣的價格走到一定高度時提示投資者止盈.

1900/1/1 0:00:00
比特幣:谷燕西:從DeFi中的Compound看券商的中介功能

在過去的幾十年中,全球范圍內的券商的經紀業務正在經歷著非常大的變化。由于證券經紀業務的市場規模大和同質性強,因此導致了非常激烈的競爭。競爭的結果就是這個業務的利潤率越來越低.

1900/1/1 0:00:00
區塊鏈:谷燕西:字節跳動應該如何開展數字銀行業務?

據媒體報道,字節跳動公司正在新加坡申請數字銀行牌照。我認為目前是字節跳動這樣的公司進入金融服務領域的非常好的機會。現在的金融市場正在向基于分布式記賬技術的生態遷移.

1900/1/1 0:00:00
DEF:美聯儲紀要顯示悲觀結果,未來經濟環境或有利于比特幣發展

近期黃金和比特幣走勢是完全綁在一起了。 從對比圖上看最直觀,基本上是黃金下跌后比特幣跟跌,特別是近兩天,但是下跌的節奏又不太一樣,前天黃金帶了個下跌的頭,后期反而轉漲了,而比特幣反而被黃金帶進坑.

1900/1/1 0:00:00
BAS:回天乏術,一開始就注定失敗的YAM投票拯救行動

36小時內,眼看他起高樓,幾分鐘內,眼看他樓塌了。北京時間08月13日上午03時整,備受矚目的DeFi項目YAMFinance宣布啟動流動性挖礦,僅僅一天時間鎖倉資產價值就超過了6億美元,其鎖定.

1900/1/1 0:00:00
ads