以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

區塊鏈:首發 | Text.finance智能合約安全漏洞分析

Author:

Time:1900/1/1 0:00:00

北京時間11月12日,CertiK安全研究團隊發現DeFi項目text.finance智能合約代碼部分存在安全漏洞。

分析之前,先考考大家的眼力,看看下圖里面的文字說了什么。

如果看不清,不妨點擊圖片后把屏幕亮度調至最高。

有的時候,某些不想讓你看到的因素,正是通過排版或者這樣的方式,被刻意隱藏了起來。

接下來說說該項目中存在的兩處漏洞。大家不妨在閱讀文章的時候注意一下圖中[function函數]的位置。

LBank藍貝殼于4月10日01:00首發 BOSON,開放USDT交易:據官方公告,4月10日01:00,LBank藍貝殼首發BOSON(Boson Protocol),開放USDT交易,4月9日23:00開放充值,4月12日16:00開放提現。上線同一時間開啟充值交易BOSON瓜分10,000 USDT。

LBank藍貝殼于4月10日01:00開啟充值交易BOSON瓜分10,000 USDT。用戶凈充值數量不少于1枚BOSON ,可按凈充值量獲得等值1%的BOSON的USDT獎勵;交易賽將根據用戶的BOSON交易量進行排名,前30名可按個人交易量占比瓜分USDT。詳情請點擊官方公告。[2021/4/7 19:54:33]

第一彈:項目擁有者可通過第一處漏洞,將指定數目代幣轉移到任意地址。

《精靈達人3D》正式首發 Cocos-BCX 主網:據官方消息,近日,由生態合伙人 DAPPX 參與開發的《精靈達人3D》正式首發于游戲公鏈 Cocos-BCX 主網。《精靈達人3D》是一款以精靈寶可夢為題材的抓寵游戲,游戲美術采用全3D 制作。用戶可通過 CocosWallet , DAPPX 或 IMCOCOS 登錄 COCOS 主網賬號即可體驗。截至目前,Cocos-BCX 主網已上線《加密騎士團》《惡龍必須死》《XPEX怪獸世界》《Go Block》《可可奪幣》《熊貓運動會》等多款玩法多樣的趣味性鏈游,游戲公鏈生態在逐步壯大和完善。[2020/8/20]

第二彈:項目擁有者可通過第二處漏洞,將任意投資者的流動性池中的資產強制轉移到項目擁有者的地址中。

首發 | 嘉楠耘智宣布與Northern Data在AI、區塊鏈等高性能計算領域達成戰略合作:據官方消息,2020年2月17日,嘉楠耘智宣布與區塊鏈解決方案及數據中心服務提供商Northern Data AG達成戰略合作。本次合作的內容涵蓋AI、區塊鏈及數據中心運維等高性能計算領域。

嘉楠耘智擁有豐富的高性能計算專用ASIC芯片研發經驗。Northern Data AG則專注于區塊鏈和數據中心等高性能計算基礎設施的建設。通過本次戰略合作,雙方將在AI、區塊鏈等新興領域進一步釋放增長潛能。[2020/2/19]

textMiner.sol

部署地址: 

https://etherscan.io/address/0x9858728de38c914c2ea32484a113b6628d984a82#code

首發 | 《一起來捉妖》中玩家達到22級將會接觸到專屬貓的玩法 ?:今日騰訊上線首款區塊鏈游戲《一起來捉妖》,經金色財經查證,游戲中玩家達到22級將會接觸到專屬貓的玩法,而非此前官方對外宣稱的15級。除了誘貓鈴鐺召喚出的0代貓以及部分通過運營活動獎勵的專屬貓以外,游戲中所有的貓默認都是未上鏈狀態。未上鏈的貓不能出售,也無法進入市場與其他玩家配對;但是你可以使用這些貓與你的QQ/微信好友進行配對,產出新的小貓。使用道具“天書筆”可以將你的貓記錄到區塊鏈。當貓被記錄到區塊鏈以后,這些貓就可以進入市場,通過配對賺取點券,或者出售賺取點券。專屬貓是否上鏈,并不影響它的增益效果。但只有上鏈后,它才能面對全服務器所有的玩家進行繁殖、交易。

?

《一起來捉妖》中的專屬貓玩法,基于騰訊區塊鏈技術,游戲中的虛擬數字資產得到有效保護。此外,基于騰訊區塊鏈技術,貓也可以自由繁殖,并且運用區塊鏈技術存儲、永不消失。[2019/4/11]

1. 漏洞一

項目擁有者在textMiner.sol智能合約1000行處實現了withUpdates()函數。該函數的的作用是可以將任意數量的為devaddr地址鑄造任意數量的代幣。而通過查看圖2中devaddr和項目擁有者owner的地址值,可以發現兩者相同,因此項目擁有者可以通過該漏洞為devaddr地址鑄造任意數目代幣。

同時,當前的devaddr地址擁有者可以通過圖3的dev()函數將devaddr地址值更換到另外一個地址,因此最終項目擁有者可以更換將devaddr地址值更換的方法,向任意地址中鑄造任意數目代幣。

雖然項目擁有者將圖1中的withUpdates()函數設置為不允許智能合約外部調用,但是卻有意地在圖4中919行實現了允許被外部調用的add()函數,然后通過921行代碼調用withUpdates()函數,從而實現向devaddr地址鑄造1000000000000000000000000000000數量代幣。

圖1:第1000行中的withUpdates()函數

圖2:devaddr地址以及項目擁有者owner地址

圖3:dev()函數

圖4:add()函數

2. 漏洞二

圖5:emergencyWithdraw()函數

項目擁有者可以通過調用圖5中emergencyWithdraw()函數,將某一個特定地址投資者的某一個流動性池中的流動性資產全部取出,并轉移到項目擁有者的地址中。

該emergencyWithdraw()函數是一個基于正確的emergencyWithdraw()函數。因此就算審視合約者不惡意揣測,也很難說項目方不是惡意改寫,并添加了該漏洞。

從下圖6的對比中可以發現,Sushiswap允許投資者通過調用emergencyWithdraw()函數,緊急取出屬于自己的流動性資產,而在text.finance中卻僅允許項目擁有者來調用該函數,同時允許項目擁有者取出屬于任何投資者的流動性資產。

圖6:text.finance和sushiswap項目中emergencyWithdraw()函數實現對比

CertiK安全研究團隊認為當投資者在對DeFi項目進行投資時,不僅需要對智能合約常見的代碼有所了解,更需要謹慎地審視具體代碼的實現邏輯。否則極易掉入類似該項目中的惡意漏洞陷阱當中。

對于非技術背景的投資者,更需要了解項目是否經過嚴謹的技術審計。從Text.finance項目的惡意漏洞中可以看出,盲目投資一個沒有經過嚴格審計的項目,或引發極大風險,并造成難以估量的損失。

Tags:區塊鏈ADDWITITH藝術幣區塊鏈aladdinaddcWiteebithot

中幣下載
區塊鏈:成都擬于近期出臺促進區塊鏈創新應用的實施意見

11月12日,天府財訊了解到,成都有關部門正抓緊開展區塊鏈發展頂層設計,擬于近期出臺促進區塊鏈創新應用的實施意見。產業的發展離不開頂層設計.

1900/1/1 0:00:00
ETH:金色觀察|市場大熱 比特幣站上$19000

11月24日,肯定是2020年少數值得記錄的日子之一,因為今天主流幣大漲,很多幣種超過15%,少數達50%,而最關鍵的是比特幣2年來第一次站上了19000美元.

1900/1/1 0:00:00
BTC:2000萬數字人民幣紅包來了 有一個神秘功能

資料圖:深圳數字人民幣紅包截圖。2000萬元數字人民幣消費紅包來了!12月4日晚,蘇州發布消息稱,面向符合條件的蘇州市民發放2000萬元數字人民幣消費紅包,每個紅包金額為200元,紅包數量共計1.

1900/1/1 0:00:00
EFI:?從DeFi生態堆棧看波卡上的DeFi

從今年以太坊和DeFi的發展來看,DeFi對一個公鏈生態的形成起到了至關重要的作用。以太坊第一次真正火起來還是17年,當時的以太坊還算不上是一個生態,更多的是項目獲得融資的一個工具.

1900/1/1 0:00:00
加密貨幣:2000萬數字人民幣消費紅包 預約正式開啟(含攻略)

“雙12蘇州購物節”重磅活動——數字人民幣消費紅包來了! 總額2000萬元 單個金額200元 紅包數量共計10萬個 激動不激動?幸福不幸福?這么好的福利,該如何操作呢? 別眨眼.

1900/1/1 0:00:00
ETH:新聞周刊|巨鯨正將其比特幣轉移至交易所

Uniswap社區關于延長流動性挖礦提案已創建正式治理提案金色財經報道,Uniswap社區關于延長流動性挖礦提案第二階段共識檢查(ConsensusCheck)結束.

1900/1/1 0:00:00
ads