RAT:首发 | Sushiswap智能合约安全漏洞事件分析_cindicator币最新消息

北京时间8月28日，CertiK安全研究团队发现sushiswap项目智能合约中存在多个安全漏洞，该漏洞可能被智能合约拥有者利用，允许拥有者进行包括将智能合约账户内的代币在没有授权的情况下取空等操作在内的任意操作。同时该项目智能合约还存在严重的重入攻击漏洞，会导致潜在攻击者的恶意代码被执行多次。

技术步骤：

MasterChief.sol:131https://github.com/sushiswap/sushiswap/blob/master/contracts/MasterChef.sol

百度Apollo首发 “Apollo 001”系列纪念数字藏品:金色财经报道，据百度Apollo智能驾驶官方公众号，百度Apollo全网首发首款 “Apollo 001”系列纪念数字藏品，以百度汽车机器人为主体形象，每款对应一个百度Apollo自动驾驶重要里程碑事件。据悉，该数字藏品将于2022年7月8日 09:55发布汽车机器人家族全家福空投款。[2022/7/7 1:58:19]

在sushiswap项目智能合约的MasterChief.sol智能合约的131行中，智能合约的拥有者可以有权限来设定上图中migrator变量的值，该值的设定可以决定由哪一个migrator合约的代码来进行后面的操作。

首发 | Bithumb将推出与Bithumb Global之间的加密资产转账服务:Bithumb内部人士对金色财经透露，Bithumb推出和Bithumb Global之间的加密货币资产免手续费快速转账服务，每日加密货币资产转账限额为2枚BTC。此消息将于今日晚间对外公布。据悉，目前仅支持BTC和ETH资产转账。[2020/2/26]

MasterChief.sol:136https://github.com/sushiswap/sushiswap/blob/master/contracts/MasterChef.sol

首发 | 蚂蚁矿机S17真机图首次曝光 采用双筒风扇及一体机设计 ?:继正式宣布在4月9日现货销售后，比特大陆即将发布的新品蚂蚁矿机S17又有了新动态。据悉，蚂蚁矿机S17真机图今天在网上首次曝光。

从曝光的图片来看，蚂蚁矿机S17延续上一代产品S15的双筒风扇设计，且采用一体机的机身设计。有业内人士认为，采用双筒设计可有效缩短风程，矿机出入风口的温差变小，机器性能将得到很大改善。

此前比特大陆产品负责人在接受媒体采访时表示，新品S17较上一代产品相比，无论是在能效比还是单位体积的算力等方面，均有较大提升。[2019/4/3]

当migrator的值被确定之后，上图中142行的代码，migrator.migrate(lpToken)也就被随之确定，由migrate的方法是通过IMigratorChef的接口来进行调用的，因此在调用的时候，migrate的方法中的逻辑代码会根据migrator值的不同而变化。

简而言之，如果智能合约拥有者将migrator的值指向一个包含恶意migrate方法代码的智能合约，那么该拥有者可以进行任何其想进行的恶意操作，甚至可能取空所有的账户内的代币。

同时，在上图142行中执行结束migrator.migrate(lpToken)这一行代码后，智能合约拥有者也可以利用重入攻击漏洞，再次重新执行从136行开始的migrate方法或者其他智能合约方法，进行恶意操作。?

当前sushiswap项目创建者表示已经将该项目加入了时间锁定合约的显示，即任意sushiswap项目智能合约拥有者的操作会有48小时的延迟锁定。

该漏洞的启示：

智能合约拥有者不应该拥有无限的权利，必须通过社区监管(governance)来限制智能合约拥有者并确保其不会利用自身优势进行恶意操作；

智能合约代码需要经过严格的安全验证和检查之后，才能够被允许公布。

标签：RATHISWAPATORSHIArt Blocks Curated Full SetHISWAP币cindicator币最新消息ShibRWD

BTC热门资讯