以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > USDT > Info

BAS:首發 | DeFi項目Based智能合約出現漏洞 發生了什么?

Author:

Time:1900/1/1 0:00:00

“亡羊補牢,為時未晚”,這句話在生活中的大部分時候均適用。然而,在面臨網絡安全時,牢破也許就會造成無法挽回的損失。

在安全問題未造成不可彌補的損失前就被發現,或是一開始便做好萬全準備,才是身為區塊鏈從業者的安全第一要義。

北京時間8月14日下午,CertiK安全技術團隊發現DeFi匿名耕種項目Based官方宣布有攻擊者通過調用Based智能合約中的某一個函數,將一號池(Pool 1)凍結,同時宣布將重新部署其一號池。

LBANK藍貝殼于3月22日18:00首發 DORA,開放USDT交易:據官方公告,3月22日18:00,LBANK藍貝殼首發DORA(Dora Factory),開放USDT交易,現已開放充值。

資料顯示,Dora Factory 是基于波卡的 DAO 即服務基礎設施,基于 Substrate 的開放、可編程的鏈上治理協議平臺,為新一代去中心化組織和開發者提供二次方投票、曲線拍賣、Bounty 激勵、跨鏈資產管理等可插拔的治理功能。同時,開發者可以向這個 DAO 即服務平臺提交新的治理模塊,并獲得持續的激勵。[2021/3/22 19:07:06]

官方發布推特稱,有黑客試圖將“Pool1”永久凍結,但嘗試失敗。而“Pool1”將繼續按計劃進行。

首發 | 百度財報體現區塊鏈 BaaS平臺成為新戰略重點:金色財經報道,2020年2月28日,百度(股票代碼BAIDU)公布財報,其中將區塊鏈BaaS平臺相關的進展進行了單獨敘述,依托于百度智能云的區塊鏈平臺有望成為技術創新方向的新增長引擎。在AI服務上,百度與上海浦東發展銀行達成合作,共建區塊鏈聯盟,在百度區塊鏈服務(BaaS)平臺上實現跨行信息驗證。[2020/2/28]

CertiK通過分析該智能合約,認為這次凍結Based項目一號池事件,是一次由于存在智能合約漏洞導致的事故。

首發 | 劉堯:百度區塊鏈推出天鏈平臺賦能鏈上業務:12月20日,由CSDN主辦的“2019中國區塊鏈開發者大會”12月20日在北京舉行。百度智能云區塊鏈產品負責人劉堯以《企業區塊鏈賦能產業創新落地》為主題進行了演講,他指出:2020年將是區塊鏈企業落地的元年,為了支持中國區塊鏈的產業落地,百度將區塊鏈進行平臺化戰略升級,依托百度智能云推出天鏈平臺,就是要賦能360行的鏈上業務創新落地。[2019/12/20]

Based團隊部署一號池智能合約,部署地址為0x77caF750cC58C148D47fD52DdDe43575AA179d1f。

IMEOS首發 EOS Go公布新增兩條復選條件 :據金色財經合作伙伴IMEOS報道:今日,EOS Go在 steemit上公布新增的兩條復選條件為:

1. 保證安全的計劃:候選節點是否在steemit上發布文章介紹該節點的安全方法和計劃,“安全方法”標準是向EOS選民展示安全最佳實踐知識和組織實施計劃的機會;

2. 立場:描述該節點分享通脹獎勵和/或向EOS代幣持有人派發股息的立場(候選節點在steemit發布)。主要闡述以下兩個問題:

該組織是否會出于任何原因向EOS令牌選民提供支付,包括BP選舉和社區建議?

該組織是否有書面的無票付款政策?如果是這樣,請提供一個鏈接。[2018/4/27]

Based官方通過調用智能合約中的renounceOwnership函數來聲明智能合約所有者,但未進行智能合約初始化。

由于在Based智能合約中initialize函數被錯誤的設置為可以被外部調用,因此造成在初始化智能合約過程中,一號池的智能合約被外部攻擊者用錯誤的值初始化。

錯誤的初始化造成Based官方無法再次初始化一號池的智能合約,因此造成一號池被凍結,任何質押行為都無法完成。

Based官方決定放棄該智能合約,重新部署一號池智能合約。 

1. Based團隊在部署智能合約后,沒有及時的調用下圖的initialize函數來初始化智能合約的設置:

2. 外部調用者利用Based團隊在部署和初始化智能合約之間的時間差,乘機調用了下圖中671行被錯誤設置調用范圍的initialize函數,搶先初始化了一號池的智能合約:

3. 上圖兩個initialize函數都是由initializer的修飾符修飾。根據其中代碼,如果調用了其中一個initialize函數,另外一個initialize函數就無法被調用。initializer修飾符代碼如下圖所示,這造成了Based官方失去了初始化函數的機會:

4. 綜上因素,Based智能合約無法被官方正確初始化,因此任何質押行為都無法進行。

質押失敗的交易記錄:

該次事件本質上是由智能合約漏洞導致的,但如果Based團隊提早注意到這個漏洞,提前初始化智能合約,可以完全規避這次危險,避免一號池被凍結。因此,CertiK安全技術團隊提出如下建議:

部署智能合約時應準備好初始化智能合約所需要的命令腳本等工具,及時初始化智能合約,避免攻擊者利用部署操作和初始化操作之間的時間差,搶先初始化或者惡意操縱智能合約。

開發者應精通智能合約的運行原理和技術細節,不要盲目的采用其他的智能合約代碼。

可邀請專業的第三方安全團隊或內部安全專家對其智能合約進行審計,保證智能合約的安全性和可靠性。

Tags:區塊鏈BASBASEDBASE區塊鏈存證平臺BASD價格2Based Financecoinbase官網中國下載

USDT
LEC:中科云創產品總監IPFS老王:IPFS/Filecoin生態發展趨于“白熱化”

8月3日,由IPFS100.com主辦,CapitalN節點咨詢承辦,金色算力云聯合主辦,深圳市先河系統技術有限公司金牌贊助,逆熵科技銀牌贊助.

1900/1/1 0:00:00
比特幣:大做市商淪為韭菜的故事:一著不慎

北京的天空又下起了雨,我剛剛和一個老友見面,他一直是我佩服的人才。可是這次見面他的心情卻布滿烏云,我聽了他給我講的故事,征求了他的意見,在此把這個故事給大家分享出來,可以給大家一些警示.

1900/1/1 0:00:00
BTC:9.1號晚間行情:ETH 還能上車嗎

文章系金色財經專欄作者幣圈北冥供稿,發表言論僅代表其個人觀點,僅供學習交流!金色盤面不會主動提供任何交易指導,亦不會收取任何費用指導交易,請讀者仔細甄別,謹防上當.

1900/1/1 0:00:00
NFT:整合各國金融股票市場:QCG的區塊鏈版圖

過去一年,美聯儲三次降息,帶動全球30多個國家的中央銀行跟進降息,最終貨幣市場利率降至數十年來的最低水平,并向全球市場注入了超過20萬億美元的流動性.

1900/1/1 0:00:00
BTC:8.18早間行情:BTC強勢突破12000 下一目標20000?

昨晚行情不僅突破了12000美元,打破了長時間以來的高位震蕩,還直接突破了年內高位最高時到達12450美元附近,雖然當前再次回落到了12300美元附近.

1900/1/1 0:00:00
USHI:金色觀察 | 獲Sushi管控權 FTX及其創始人SBF是誰?

在剛剛過去的周末,伴隨著價格的“暴漲暴跌”,DeFi明星Sushi的管控權塵埃落定。9月6日,SushiSwap創始人Chef Nomi在推特稱,已將SushiSwap時間鎖管理控制權限發送給F.

1900/1/1 0:00:00
ads