EOS:首發 | Uniswap上的代幣項目跑路？NUGS合約漏洞分析

大家在學生時代是否有過這樣的經歷：

考試的時候把較難的題都做對了，卻因為簡單的題丟了分。

老師經常說，那些拿滿分?的好學生，都是既抓住了難題，同時也沒放過簡單的題目。

北京時間8月11日，CertiK安全研究團隊發現基于以太坊的代幣項目NUGS出現安全問題，其智能合約中存在安全漏洞，致使其代幣系統出現巨額通脹。由于該智能合約的安全漏洞無法被修復，因此最終NUGS項目官方發布公告決定放棄該項目，存入其中的代幣也無法被取出。官方公告如下圖：

首發 | Bithumb將推出與Bithumb Global之間的加密資產轉賬服務:Bithumb內部人士對金色財經透露，Bithumb推出和Bithumb Global之間的加密貨幣資產免手續費快速轉賬服務，每日加密貨幣資產轉賬限額為2枚BTC。此消息將于今日晚間對外公布。據悉，目前僅支持BTC和ETH資產轉賬。[2020/2/26]

CertiK安全研究團隊研究NUGS項目部署的智能合約，發現其安全漏洞存在于doLottery和_doLottery這兩個函數中。

首發 | DVP: Bitstamp交易所存在漏洞 可導致大量KYC等信息被泄露:金色財經訊，近日，DVP收到安全人員提交的全球知名交易所Bitstamp的漏洞，攻擊者可以利用該漏洞查看大量用戶ID、銀行卡等敏感信息，嚴重威脅用戶信息安全。為避免發生KYC泄露的惡性事件，DVP安全團隊在收到該漏洞后，第一時間通知該平臺進行修復，但未收到回應。DVP提醒相關用戶關注個人信息安全，以免造成損失。[2019/8/13]

根據其智能合約的功能分析，NUGS代幣項目是一個類似于彩票抽獎的系統。

IMEOS首發 EOS Go公布新增兩條復選條件 :據金色財經合作伙伴IMEOS報道：今日，EOS Go在 steemit上公布新增的兩條復選條件為：

1. 保證安全的計劃：候選節點是否在steemit上發布文章介紹該節點的安全方法和計劃，“安全方法”標準是向EOS選民展示安全最佳實踐知識和組織實施計劃的機會；

2. 立場：描述該節點分享通脹獎勵和/或向EOS代幣持有人派發股息的立場（候選節點在steemit發布）。主要闡述以下兩個問題：

該組織是否會出于任何原因向EOS令牌選民提供支付，包括BP選舉和社區建議？

該組織是否有書面的無票付款政策？如果是這樣，請提供一個鏈接。[2018/4/27]

項目參與者向該智能合約中存入資金，這些資金會匯入當前彩票抽獎輪次的獎池中。然后每當經過一段時間后，智能合約會允許外部調用者調用下圖中的doLottery函數來抽取當前彩票抽獎輪次的贏家，決定這個贏家的條件是這位外部調用者的地址以及當前彩票抽獎獎池中的獎金總量。而這位外部調用者會收到一部分獎金作為“開啟”彩票抽獎獎池的獎勵。

從上圖中可以發現，通過第15行代碼可以獲得當前彩票抽獎獎池中的獎金數額。第20~22行代碼顯示，一部分獎金會獎勵給外部調用doLottery函數的用戶，這位用戶也就是實際上的此次彩票輪次的“開獎嘉賓”。然后在25~28行中，扣除獎勵給外部調用者的獎勵之后的剩余獎金會被發送給本輪彩票的贏家。之后本輪彩票的開獎階段結束。

該智能合約出現的問題在于：當在一次彩票抽獎完成后，彩票池中的獎金額沒有被清零，導致了下一次彩票輪次開時，彩票池中依舊有上一次彩票池中獎金的數額，也就是彩票獎池中的初始獎金額會被錯誤的設置為上一次彩票抽獎結束后獎池中的最終獎金數目，而正確的初始獎金額應該為“零”。

每一次開獎時的獎金額都會被記錄傳遞到下一次抽獎的初始獎池中，這樣就會最終導致彩票池中的獎金越來越多，從而造成代幣通脹并飛快貶值。

由于智能合約的一旦上鏈就無法更新的特性，使得NUGS項目官方無法將漏洞修復，因此只能選擇將該項目遺棄。

該事件中智能合約的的安全漏洞較為簡單易懂，屬于專業智能合約開發者通常不會出現的錯誤。整個項目都建立好了，卻因為一道“簡單題”丟了分。而智能合約的項目一旦“丟分”，整個項目的命運都將被改變。

因此，CertiK安全團隊建議：任何代幣項目使用的智能合約都需要經過嚴謹的安全驗證之后再上鏈。如果否則一旦出現錯誤就極易產生不可挽回的損失。建立一個項目要花費不少的人力物力，甚至要攻克各種“疑難雜癥”。在簡單問題上栽了跟頭，而將整個項目徹底下架也令人唏噓。如果在交卷前，一個專業的導師能夠幫助項目檢查一遍“試卷”，把握好難題的正確同時也確保簡單問題不會出現任何閃失，那么誰不希望有這樣的專業人士來把關呢？

Tags：EOSBITUMBBithumbEOS TrustHashNet BitEcoNumbers Chainbithumb交易所中文名

波場