北京时间8月31日和9月1日,CertiK安全研究团队发现Sushiswap仿盘的两个项目YUNoFinance(YUNO)与KIMCHI.finance(KIMCHI),其智能合约均存在漏洞。如果利用该漏洞,智能合约拥有者可以无限制地增发项目对应的代币数目,导致项目金融进度通胀并最终崩溃。
无限增发漏洞
CertiK:Star Protocol项目Discord服务器遭黑客入侵:金色财经报道,据CertiK官方推特发布消息称,Star Protocol项目Discord服务器遭黑客入侵。在团队确认已重获对服务器的控制之前,请勿点击任何链接。[2023/7/11 10:47:24]
以Yuno项目中智能合约为例,CertiK安全研究团队对于该无限增发漏洞进行了详细分析,技术细节如下:在Yuno项目中的MasterChef.sol智能合约第1354行中,dev方法可以允许当前拥有devaddr身份的智能合约调用者,将devaddr身份转移给另外一个地址。
Messari:2022年Balancer锁仓量下降57%:1月10日消息,加密分析公司Messari发布《2022四季度Balancer状态报告》。数据显示,四季度Balancer在以太坊上的锁仓量下降了10%,但是在Polygon、Arbitrum和Optimism上的锁仓量却分别增加了42%、71%和20%,这些Layer 2上的锁仓量增长大部分归功于来自Lido和Rocket Pool的外部激励,这两个DeFi协议在Arbitrum和Optimism链上Balancer流动性池锁仓量中占比达到约50%。
纵观整个2022 年,Balancer总锁仓量下降了57%,但表现仍好于整体加密货币市场和其他DeFi协议,其跌幅小于竞争对手Uniswap(-61%)、Sushiswap(-90%)和Curve(-84%)。[2023/1/10 11:04:11]
截图出自:https://etherscan.io/下图中可以看到在智能合约1282行的mint方法是由修饰器onlyOwner进行限制,修饰器onlyOwner决定了只能是智能合约拥有者来执行这个合约。
狗狗登月通过审计公司CertiK的安全审计:据官方消息,DogMoon今日通过CertiK的安全审计,提供了安全审计报告,审计报告中证明了LP私钥被销毁,转入黑洞,资金池安全。
狗狗登月上线15天,持币地址突破83300,资金池突破21000HT。
如需查询审计情况,请登录官方网站进行搜索查询。[2021/5/25 22:42:48]
区块链安全公司CertiK将于10月24日上线CertiK主网:区块链安全公司CertiK宣布CertiKChain主网将于北京时间2020年10月24日22点24分上线。据此前报道,9月中旬,CertiK基金会正式开源CertiKChain。目前已开放使用的产品包括CertiKChain、去中心化CertiK安全预言机、用于编写安全智能合约的安全编程语言和编译器工具链DeepSEA工具链。[2020/10/22]
以上三截图均出自:https://etherscan.io/拥有devaddr身份的调用者,当其身份恰好同时为owner身份的时候,可以通过调用MasterChef.sol智能合约1282行的mint方法,来无限制的增发代币。1282行的mint方法会继续调用1130行的mint方法,并继续由1130行mint方法调用1044行的_mint方法,并最终完成代币增发的操作。Kimichi项目智能合约中存在的无限增发漏洞与以上漏洞基本相同,因此在这里不进行重复叙述。如果owner和devaddr的地址如果相同,那么在外部没有对智能合约拥有者限制的情况下,智能合约拥有者拥有权利增发任意数量的代币,这将会将投资者置于风险之中。那么Yuno和Kimichi这两个项目中的devaddr和owner是否为同一人呢?是否有其他外部制约机制可以限制这两个项目的智能合约拥有者呢?下图为Yuno项目MasterChef.sol智能合约中拥有devaddr和owner身份的地址。
截图出自:https://etherscan.io/下图为Kimichi项目中KimchiChef.sol智能合约中拥有devaddr和owner身份的地址。
截图出自:https://etherscan.io/从上两图中可以看到,Yuno项目中拥有devaddr和owner身份的地址为同一个,因此其智能合约拥有者有权利进行无限制的代币增发。而Kimichi项目中拥有devaddr和owner身份不同,但由于devaddr的身份可以进行转移,因此也存在一定的风险。目前措施
为了确保无限增发漏洞不会被触发,对于Yuno和Kimichi两个项目的智能合约拥有者必须由外部进行限制。当前已经实施的限制条件与Sushiswap项目一致,即对任何由智能合约拥有者进行的智能合约操作,均有48小时的延迟。任何来自智能合约拥有者的操作都会被所有投资者观察到,并有48小时进行应对操作。CertiK安全团队建议
当前DeFi以及相关Farming项目异常火爆,由于区块链项目对于项目代码公开性有要求,因此上线新项目门槛极低。如果盲目借鉴其他项目,任意漏洞都可能被引入到项目中。因此在项目上线之前,应该对项目进行严格的安全审计。从投资者角度,当前Farming项目动辄百分之几千的回报率,极易促使投资者在没有对项目本身有足够了解的情况下进行盲目投资。例如SushiSwap,Yuno以及Kimchi三个项目均没有经过严谨的安全验证就快速上线。投资者可能会被巨大的利益回报迷惑,将宝贵资金投入到有极大风险的智能合约中。
本文来自:哈希派,作者:哈希派分析团队,星球日报经授权转发。
1900/1/1 0:00:00编者按:本文来自阿华区块链,作者:阿华,Odaily星球日报经授权转载。DeFi的玩法真的是层出不穷,例如YFI、AMPL以及这几天最火的SUSHI,都非常的具有创新性,在DeFi赛道上是一切皆.
1900/1/1 0:00:00编者按:本文来自蓝狐笔记,Odaily星球日报经授权转载。到蓝狐笔记写稿时,Curve的锁定资产量达到12.4亿美元,整个DeFi领域是78.2亿美元,Curve占据15.8%左右的比例.
1900/1/1 0:00:002020年伊始,新冠席卷全球。截止目前全球,已有1600多万感染者,死亡65多万。疫情严重的国家,均已有上百万的感染者,最严重的疫情地区美国达到了5476266人,死亡17万多人.
1900/1/1 0:00:0020世纪90年代初,有两股巨大的力量在传播,这两股力量将影响未来几十年的发展:互联网和强大的密码学.
1900/1/1 0:00:00编者按:本文来自蓝狐笔记,Odaily星球日报经授权转载。从Compound6月15日推出COMP代币的流动性挖矿以来,DeFi的流动性挖矿成为早期项目引导出流动性的关键手段.
1900/1/1 0:00:00