以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

MIN:首發 | CertiK:DeFi項目Walletreum內部操作攻擊事件分析

Author:

Time:1900/1/1 0:00:00

馬克思曾在資本論中引用一句名言:“如果有10%的利潤,它就保證到處被使用;

有20%的利潤,它就活躍起來;

有50%的利潤,它就鋌而走險;

為了100%的利潤,它就敢踐踏一切人間法律;

有300%的利潤,它就敢犯任何罪行,甚至絞首的危險。”

對于區塊鏈來說,去中心化是一切的本質,更是區塊鏈世界和生態的標桿。

無論是什么形式的去中心化,它的本質實際上指的都是權力從頂層中心化機構到基層個體的下沉。

這個下沉趨勢隨著世界的發展不斷的惠及每一個個體。區塊鏈所言的“去中心化”同樣是隨著經濟和科技發展,迎合社會發展本質上的一類。鑄幣權便是其中之一。

百度Apollo首發 “Apollo 001”系列紀念數字藏品:金色財經報道,據百度Apollo智能駕駛官方公眾號,百度Apollo全網首發首款 “Apollo 001”系列紀念數字藏品,以百度汽車機器人為主體形象,每款對應一個百度Apollo自動駕駛重要里程碑事件。據悉,該數字藏品將于2022年7月8日 09:55發布汽車機器人家族全家福空投款。[2022/7/7 1:58:19]

這里的鑄幣權指的是將其下放至專業及安全的團隊或個體手中,通過健康的社區治理,達到實現區塊鏈領域愿景的目的。

然而如同早年間的鑄幣行為在傳統金融中屢禁不絕,區塊鏈領域內的惡意鑄幣行為也是無休無止。

一個項目其違背去中心化的本質,通過擁有者的極大權限進行惡意鑄幣,不僅僅損害了項目的良勢發展,更是損害了每一位投資者與項目支持者的切身利益。

首發 | imKey正式支持Filecoin,成為首批Filecoin硬件錢包:12月1日,隨著imToken2.7.2版本上線,imKey同步支持Filecoin,成為業內首批正式支持FIL的硬件錢包。Filecoin作為imKey多鏈支持的優先級項目之一,成為繼BTC、ETH、EOS和COSMOS四條公鏈后的第五條公鏈。

據悉,imKey團隊已在Q4全面啟動多鏈支持計劃,計劃實現imToken已經支持的所有公鏈項目,本次imKey升級更新,無需更換硬件,不涉及固件升級,通過應用(Applet)自動升級,即可實現imKey對Filecoin的支持及FIL的代幣管理。[2020/12/2 22:52:32]

《精靈達人3D》正式首發 Cocos-BCX 主網:據官方消息,近日,由生態合伙人 DAPPX 參與開發的《精靈達人3D》正式首發于游戲公鏈 Cocos-BCX 主網。《精靈達人3D》是一款以精靈寶可夢為題材的抓寵游戲,游戲美術采用全3D 制作。用戶可通過 CocosWallet , DAPPX 或 IMCOCOS 登錄 COCOS 主網賬號即可體驗。截至目前,Cocos-BCX 主網已上線《加密騎士團》《惡龍必須死》《XPEX怪獸世界》《Go Block》《可可奪幣》《熊貓運動會》等多款玩法多樣的趣味性鏈游,游戲公鏈生態在逐步壯大和完善。[2020/8/20]

北京時間11月16日,CertiK安全研究團隊發現DeFi項目Walletreum被項目團隊通過內部操作,惡意鑄造5億個WALT代幣。截止11月16日早5時,惡意鑄造的代幣量已約合近190萬人民幣。

首發 | 火幣集團全球業務副總裁:監管將決定區塊鏈技術和加密貨幣的落地速度:1月21日,火幣集團全球業務副總裁Ciara Sun在達沃斯世界經濟論壇上表示,對區塊鏈和數字貨幣的監管態度,2019年是重要的一年。在美國,到2019年底,針對加密貨幣和區塊鏈政策有21項法案,這些法案包括稅收問題,監管結構,跟蹤功能和ETF批準,哪些聯邦機構監管數字資產等。歐盟(EU)在2020年1月10日實施了一項新法律,要求加密貨幣平臺采取更嚴格的反洗錢做法。瑞士,日本,立陶宛,馬耳他和墨西哥通過法律,要求交易所必須根據KYC和AML準則獲得許可。中國,土耳其,泰國等國家正在計劃自己的中央銀行數字貨幣(CBDC)。而監管將決定區塊鏈技術和加密貨幣的落地速度。[2020/1/22]

CertiK安全研究團隊通過分析其智能合約代碼,發現其智能合約代碼中心化風險極高,存在安全隱患,項目擁有者擁有權限向任意地址鑄造任意數目的代幣。

完整技術分析如下:

項目擁有者地址:0xa5e552e3d643cc89f3b1ceccfd6f42c5c1aee775

圖一:內部操作攻擊交易信息

圖一是Walletreum項目中WALTToken智能合約被內部操作,鑄造額外5億個WALT代幣的交易信息。

該交易哈希值為0xc0f3b0576f18a714d78b822754489d4201c9e36fb0ce4b2f53a93217564710e5。

CertiK天網系統 (Skynet) 檢測到區塊1126401出現異常交易信息后,立刻向CertiK安全研究團隊發出警示。

CertiK安全研究團隊在對該項目智能合約進行快速分析后,認為該項目為當前一典型的由于智能合約高中心化而導致的攻擊。

圖二:WALTToken智能合約mint()函數

 圖二為遭受內部操作攻擊智能合約中被惡意調用的函數mint()。

從666行的代碼實現中可以看出,任何擁有minter權限、可以通過onlyMinter修飾符限制的外部調用者均可以調用該函數。

該函數的作用是通過667行代碼向任意賬戶(account)鑄造任意數目的代幣(amount)。

通過圖三中619行onlyMinter修飾符的邏輯實現,以及615行構造函數中給與智能合約部署者minter權限的邏輯實現,智能合約部署者擁有了可以執行圖二中mint函數的權限。

圖三:onlyMinter修飾符以及給與項目管理者minter權限的構造函數

圖四:項目擁有者擁有minter權限

查詢項目擁有者是否擁有minter權限的結果如圖四所示。

至此,項目擁有者擁有執行mint函數的權利,最終惡意鑄造了5億個WALT代幣,致使項目投資者遭受損失。

CertiK安全團隊通過研究認為,目前大多數DeFi項目中均存在類似于Walletreum項目的風險。

該類mint函數以及minter權限的實現表明了當前DeFi項目中項目擁有者權限過大,中心化風險較高。

這會導致內部操作等情況的發生完全依賴于項目擁有者個人或者團隊的“個人素質”與選擇。

CertiK團隊此前分析過同樣存在中心化風險的Mercurity.finance項目,而類似此次Walletreum項目被內部操作攻擊的情況以后想必也依舊會發生。

在此,CertiK團隊發出建議:

如要防范此類內部操作,應當注重提高社區治理的程度,并在項目實現上盡可能降低中心化權限,對任意重要操作均需要通過社區投票或者運用Timelock延時限制機制。

Tags:MINTMININTWALMinterMINU幣Platonic QuintessenceWALMETA

比特幣價格
聯盟鏈:數字貨幣發展前景看好 但還需要實踐中檢驗

由《財經》雜志主辦的“財經2021年會”日前在北京召開,來自海內外的政商學界人士,通過線上與線下相結合的方式,就當前全球經濟領域熱點問題進行了討論與展望.

1900/1/1 0:00:00
DGB:火幣觀察:美國提出穩定幣法案 監管過度或影響行業創新

據CoinDesk 12月2日消息,美國國會議員Rashida Tlaib、Jesús “Chuy” García和Stephen Lynch在周三提出名為《穩定幣網絡共享和銀行執照執行法》(S.

1900/1/1 0:00:00
ORA:一文讀懂加密藝術的創作者、社區和二者間的“灰色地帶”

采訪者:“這只是一個工具,不是嗎?”David Bowie:“不,不,這是個像外星人一樣的生活形式。”Bowie在1999年有先見之明地描述了互聯網將對音樂產業意味著什么.

1900/1/1 0:00:00
比特幣:金色觀察丨瑞·達利歐:法定數字貨幣將“擠壓”加密貨幣生存空間

金色財經 區塊鏈11月12日訊? 對沖基金巨頭橋水基金(Bridgewater Associates)創始人瑞·達利歐(Ray Dalio)最近稱,如果比特幣變得非常成功,各國政府將會取締它.

1900/1/1 0:00:00
SNX:11.15晚間行情:分化盤面賺錢機會在哪里

文章系金色財經專欄作者幣圈北冥供稿,發表言論僅代表其個人觀點,僅供學習交流!金色盤面不會主動提供任何交易指導,亦不會收取任何費用指導交易,請讀者仔細甄別,謹防上當.

1900/1/1 0:00:00
ETH:ETH2.0:PoS質押給ETH帶來深遠影響

隨著以太坊存儲合約的發布,人們對ETH2.0越來越感興趣。ETH2.0是對當前以太坊的升級,它要解決以太坊的可擴展性和費用等問題.

1900/1/1 0:00:00
ads