北京时间8月28日,CertiK安全研究团队发SushiSwap项目智能合约中存在多个安全漏洞。该漏洞可能被智能合约拥有者利用,允许拥有者进行包括将智能合约账户内的代币在没有授权的情况下取空等操作在内的任意操作。同时该项目智能合约还存在严重的重入攻击漏洞,会导致潜在攻击者的恶意代码被执行多次。技术解析
Larry Cermak:Celsius可能尚有15亿美元资产:6月14日消息,The Block研究副总裁Larry Cermak昨日发推称:“为了透明度起见,我将公布我的数据库,这里面有所有我认为属于Celsius的钱包。目前,Celsius仍有大约15亿美元资产。需要言明的是,链上标签不是一门精确的科学。我可能会犯一些错误。这个列表可能不完整,我在追踪它们的这些年里可能给其中一些贴上了错误的标签。”[2022/6/14 4:25:23]
CertiK:攻击者于一个地址铸造了1.5亿个SHELL代币:金色财经报道,据CertiK安全团队监测,北京时间2022年6月11日12:30 ,SHELL代币价格下跌超过56%。攻击者于一个地址铸造了1.5亿个代币,随后将其转移并在12次交易中将其售出。目前约有价值18万美元的代币已被提取,其余资金仍在以下地址:0x5ba8c3f55edc13c641d8612cd37ca89dc4e2cfb2[2022/6/13 4:21:38]
MasterChief.sol:131图片来源:https://github.com/sushiswap/在SushiSwap项目MasterChief.sol智能合约的131行中,智能合约的拥有者可以有权限来设定上图中migrator变量的值,该值的设定可以决定由哪一个migrator合约的代码来进行后面的操作。
资产聚合协议mStable和Balancer DAO宣布完成资产互换:12月24日消息,资产聚合协议mStable已与自动做市商协议Balancer DAO完成金库资产互换,33.4万MTA和2万BAL的链上代币互换,当前市值总计约29万美元。据介绍,Balancer DAO将质押MTA为mStable池投票,通过一致的利益和相互协作,引导更高的激励措施并可能为mStable池吸引更多的流动性。[2021/12/24 8:01:33]
MasterChief.sol:136。图片来源:https://github.com/sushiswap/当migrator的值被确定之后,migrator.migrate(lpToken)也就可以被随之确定。由migrate的方法是通过IMigratorChef的接口来进行调用的,因此在调用的时候,migrate的方法中的逻辑代码会根据migrator值的不同而变化。简而言之,如果智能合约拥有者将migrator的值指向一个包含恶意migrate方法代码的智能合约,那么该拥有者可以进行任何其想进行的恶意操作,甚至可能取空账户内所有的代币。同时,在上图142行中migrator.migrate(lpToken)这一行代码执行结束后,智能合约拥有者也可以利用重入攻击漏洞,再次重新执行从136行开始的migrate方法或者其他智能合约方法,进行恶意操作。该漏洞的启示
·智能合约拥有者不应该拥有无限的权利,必须通过社区监管及治理(governance)来限制智能合约拥有者并确保其不会利用自身优势进行恶意操作。·智能合约代码需要经过严格的安全验证和检查之后,才能够被允许公布。当前SushiSwap项目创建者表示,已将该项目迁移到时间锁定合约,即任意SushiSwap项目智能合约拥有者的操作会有48小时的延迟锁定。在此CertiK技术团队建议大家在智能合约公布前,尽量寻找专业团队做好审计工作,以免项目出现漏洞造成损失。
编者按:本文来自Cointelegraph中文,作者:JOSEPHYOUNG,Odaily星球日报经授权转载。LedgerX是美国受监管的期货交易所,已推出实物结算的比特币期货合约.
1900/1/1 0:00:00编者按:本文来自链闻ChainNews,星球日报经授权发布。链闻获得UncommonCore授权翻译并发布中文版本,UncommonCore是由新加坡合规对冲基金ThreeArrowsCapit.
1900/1/1 0:00:00编者按:本文来自链闻ChainNews,撰文:Donnager,星球日报经授权发布。一个仅仅上线两周的分叉项目,沉淀资金的体量已经远超运营了两年的原版项目.
1900/1/1 0:00:00编者按:本文来自威廉闲谈,作者:陳威廉,Odaily星球日报经授权转载。文章开头,我先问大家三个问题:你最初是因为什么买了人生的第一个币?你觉得现在加密货币有多少投资者?你对那些打着数字货币旗号.
1900/1/1 0:00:00编者按:本文来自链闻ChainNews,星球日报经授权发布。撰文:钱柏均,就职于HashKeyCapitalResearch审校:邹传伟,万向区块链、PlatON首席经济学家本文对安全多方计算做.
1900/1/1 0:00:00编者按:本文来自巴比特资讯,作者:王佳健,星球日报经授权发布。过去的这个周末,一定是DeFi爱好者的噩梦。DeFi,可以分为几个板块,分别是去中心化交易系统、借贷、稳定币、保险、理财、预言机等.
1900/1/1 0:00:00