近日,一个名为“FairWin”的资金盘项目尤为引人瞩目,受其影响,以太坊网络Gas消耗量持续处于高饱和的状态,其单个DApp的Gas利用率就达到了以太坊网络可承载Gas总量的近半数。然而,因被曝存在智能合约安全漏洞,FairWin被推上风口浪尖,一时间引来大众对于类FairWin游戏命运乃至整体以太坊网络稳定性的担忧。概述
北京时间2019年09月27日,PeckShield安全人员在深入分析FairWin智能合约时发现,FairWin智能合约存在一些因管理权限问题引发的致命缺陷,旧合约中的余额可被用户任意操作并转移,且在升级后的新合约又存在一个新问题,使得用户可以制造虚假投注来捞取奖池剩余资金。FairWin合约问题的由来
经PeckShield旗下DApp数据服务平台DAppTotal.com最新监测数据显示,自08月26日以来,以太坊网络每日Gas消耗量持续处于高度饱和的状态,即每日Gas消耗量占以太坊网络可承载Gas总量的90%以上,整体网络状况异常拥堵。造成持续拥堵原因为,最近横空出世了一个名为FairWin的资金盘项目,其每日Gas消耗量占比达到了以太坊网络可承载总量的近半数PeckShield安全人员通过分析FairWin智能合约代码发现,在06月17日,FairWin部署了0x11f5开头的合约,分析其合约源码发现,存在以下的调用:不难发现,sendFeeToAdmin()这一方法可以被任何用户调用,一旦调用之后,FairWin合约中的余额就会被转移至指定的admin地址之中。这一问题被ConsenSys的安全研究人员DanielLuca发现,随后项目方于07月27日部署了0x01ea开头的新版合约,对该问题进行了修复。如下图,通过分析新版合约的代码发现,sendFeeToAdmin()方法已被设置为private:这样的话,上述方法就无法被外部直接调用,上述问题也得到解决,但PeckShield安全人员深入分析发现,问题并没有那么简单:由于区块链的不可篡改特性,DApp从旧合约升级到新合约,但用户之前的投注记录依然保存于旧合约,项目方需要想办法将用户的投注记录迁移至新合约。为了解决这个问题,FairWin团队引入了remedy()接口,用以将用户的资产直接导入到新合约之中:新合约漏洞原理分析
江卓尔:DeFi流动性挖矿是典型的资金盘:金色财经报道,莱比特矿池创始人江卓尔刚刚发微博提出三个观点:“1.如果CEX(中心化交易所)没有全面被禁,DEX只能是CEX的补充,DEX去中心化带来两三个数量级的效率下降,是金融所不能容忍的;2.DeFi的流动性挖矿是一个典型的资金盘,根据我的建模,和多个迹象,多个反指表明,其已经进入了崩盘末期,最高点很可能已经过去,崩盘前最长寿命不超过20天;3.流动性挖矿的套娃机制,本质上是一种抵押锁仓机制,在上涨时能吹起多大虚市值,在下跌时会以相同的速度破掉。切记,财富不能无中生有,能量守恒是宇宙最重要的定律。”[2020/9/3]
通过分析remedy()接口,其实现数字资产迁移的大体流程如下:确保remedy()这一操作当前处于开放状态;根据参数还原用户的投注数据,并保存到新合约的数据库之中。PeckShield安全人员通过分析Ethereum链上数据发现,remedy()在新合约上线之后一共被调用了503次,一共给500位投资者完成了资产迁移,并且这一调用方法均由FairWin管理员发起。不过,这一方法能否调用成功,取决于其中的actStu参数是否为0,PeckShield安全人员分析FairWin新合约代码发现了新的问题:actStu默认为0,也就是remedy()方法可以调用;closeAct()方法将actStu设为1,也就是关闭remedy()通道。问题的关键就在于此:closeAct()方法添加了onlyOwner限制,而remedy()却没有加这一限制。由于上述限制条件存在的不一致性,倘若合约Owner没有通过closeAct()关闭actStu时,任何用户都可以通过remedy()接口修改投注数据,进而实现在0投入的情况下,伪造大量资金投入,并通过userWithDraw()将合约余额奖金取出。值得庆幸的是,截至目前,尚没有已知攻击发生,且FairWin合约owner已经将actStu关闭,潜在威胁暂时得以排除。漏洞后续影响
区块链资金盘“硅谷区块鸡”疑似跑路 涉案金额或达百亿:近日,有举报者反映,一款名为“硅谷区块鸡”的区块链资金盘疑似崩盘跑路,相关App已无法登录。大量投资者损失数几十万元到几百万元不等本金。据部分投资者估算,“硅谷区块鸡”及其相关资金盘整体涉案金额或高达百亿元。据悉,“硅谷区块鸡”的运营主体为辽宁浩洋科技有限公司,公司实际控制人为关馨。目前,关馨已被辽宁省葫芦岛连山区人民法院列为失信被执行人。(腾讯网)[2020/3/30]
FairWin短期内依然保持较大的热度,基于其也产生了诸如EtherHonor、HyperFair等仿盘,不排除这类仿盘也存在潜在问题的可能。此外,在FairWin合约被曝存在安全问题后,有舆论声音质疑称,这可能是“项目方事先预留的后门并从中空手套白狼”,但,PeckShield安全人员通过追踪新旧合约的交互行为发现,项目方除了将旧合约已投注资金问题向新合约迁移之外,对于用户投注错误的资金也给予了原路返还:如下,在08月01日出现了一次调用:0xa584开头的账号在区块高度为8263419中向FairWin旧合约投注了11ETH,投注的金额被0xcb10在区块高度8264604转移到FairWin0x854d管理员账号之中,之后在区块高度为8264613的时候,管理员账号又将这11ETH转回给0xa584账号。从链上行为初步看来,项目方是可以撇开“作恶”的嫌疑了。针对以上漏洞威胁,PeckShield安全人员建议,对于智能合约的敏感操作,应当添加相应的访问权限限制,对于上述的remedy()操作需要添加onlyOwner限制,以避免被其它人恶意使用。另外,对于用户的数字资产,应当保持充分的敬畏之心。对开发者而言,与此同时也暴露出一个问题,在合约升级过程中很可能冒出各种“新”的问题,项目方应第一时间针对问题进行应急响应,并可寻求第三方安全公司帮助其进行上线前潜在漏洞排查。对用户而言,即使这样也并不意味着参与FairWin之后就可以“高枕无忧”了。毕竟,资金盘终归是资金盘,当你在凝视深渊的时候,深渊也正在凝视着你。发现,在被曝出现漏洞威胁后,FairWin合约的余额有了明显的下滑,可见漏洞问题给项目方带来了一定的信任危机,大量的用户开始撤出资金。考虑到资金盘的机制,短期余额持续下滑的状况可能会埋下一个“暴雷”的种子,PeckShield在此提醒广大用户应谨慎参与此类资金盘项目,避免因其潜在不稳定性造成不可挽回的损失。
PlusToken资金盘仍有6万多个BTC未被成功转移,或将影响加密市场:数字资产调查公司OXT Research报告显示,资金盘局PlusToken可能仍有61229个比特币(价值约3.69亿美元)未被成功卖出和转移,这可能会在将来某个时间点影响加密市场。通过分析每日分配率,Plustoken的大额比特币转移动作在2019年 9月和11月的价格强度中达到最高,每天达到近4500 BTC的峰值,而在市场价格波动疲软的十月和十二月时则处于“熄火”或“暂停”状态。因此,Plustoken资金盘局在转移比特币时对价格是“高度敏感的”,并可能在短期内增加价格的持续表现强度。(互链脉搏)[2020/3/18]
独家 | 类F3D合约再次出现 已吸引资金盘3000ETH:第三方大数据评级机构RatingToken最新数据显示,2018年8月17日全球共新增1593个合约地址,其中216个为代币型智能合约。
RatingToken安全审计团队发现,类FOMO3D资金盘合约再次出现。但这个名为ArbitrageETHStaking的合约采取的是与FOMO3相反的规则,它只会将加入者投入ETH的2%分配进奖池,其余ETH可以随时取出,而投入奖池的2% ETH会按比例分给先进入游戏的用户。截至目前,此资金盘游戏已吸引到3000ETH。
此外,昨日新增合约风险榜TOP10包括BLACKPEARL(BLACKPEARL)、POOHMO(POOHMO)、WTAGameRun V0.5、Vote Game(VG)、imfomo Long Official(imfomo)、Crowdsale with Discounts&Bonus、myt(mytime)、Shine(SSS)和teac(teac)。[2018/8/19]
9月22日下午,“Odaily星球日报城市峰会·深圳站”如期举行。本次活动由Odaily星球日报联合OKEx、算力地球和Clipper共同主办.
1900/1/1 0:00:00作者|秦晓峰编辑|卢晓明出品|Odaily星球日报据英国广播公司10月13日报道,七国集团已经起早了一份报告,称“全球稳定币”对全球的金融体系构成威胁.
1900/1/1 0:00:00文|黄雪姣编辑|卢晓明出品|Odaily星球日报“总说币圈缺钱缺用户,真相其实是缺资产。”在区块链行业摸索4年后,Wanchain联合创始人杨涛总结道.
1900/1/1 0:00:00编者按:本文来自区块链大本营,来源:Cointelegraph,作者:ScottMelker,编译:火火酱,Odaily星球日报经授权转载.
1900/1/1 0:00:00加密货币衍生品交易市场,日益成为交易所竞争的新战场。然而,合约交易所头部格局日益固化,形成了以BitMex为代表的老牌合约交易所。后来者想要突围,绝非一件易事.
1900/1/1 0:00:00周报摘要上周全球数字货币资产日均市值为2261.30亿美元,下跌15.42%,日均交易量625.77亿美元,上涨9.58%。上周市值TOP200资产整体下跌17.47%,四大领域全部下跌.
1900/1/1 0:00:00