ISS:首发 | Mercurity.finance智能合约安全漏洞分析_ACT

今年美国大选虽说有了广泛意义上的尘埃落定，但竞选结果并未明确。

如今拜登团队宣布胜选，美国媒体纷纷宣布拜登当选下届美国总统。而另一方面，川普拒绝接受败选结果，他持续进行计票，并宣称要采取法律行动。

造成如今这个混乱结果的首要原因在于美国没有设立独立的对大选事务具有权力的权威性的选举委员会，在默认情况下，是新闻机构承担了这个角色。假如川普获得过大的权力，控制了大多新闻机构，营造虚假选票，结果尚未可知。

这就意味着某种程度上，可以说是极尽中心化的“推特治国”后的又一“媒体选举”。

从选举，到互联网，到区块链，2020年，中心化不再是权威的体现，而是“独断”、“专权”的代名词。

北京时间11月9日，CertiK安全研究团队发现DeFi项目Mercurity.finance智能合约代码部分存在中心化风险。

LBank蓝贝壳于4月9日16:50首发 BOSON:据官方公告，4月9日16:50，LBank蓝贝壳首发BOSON(Boson Protocol)，开放USDT交易，4月9日16:00开放充值，4月12日16:00开放提现。上线同一时间开启充值交易BOSON瓜分10,000 USDT。

LBank蓝贝壳于4月9日16:50开启充值交易BOSON瓜分10,000 USDT。用户净充值数量不少于1枚BOSON ，可按净充值量获得等值1%的BOSON的USDT空投奖励；交易赛将根据用户的BOSON交易量进行排名，前30名可按个人交易量占比瓜分USDT。详情请点击官方公告。[2021/4/9 20:02:26]

项目拥有者拥有过大权限，可以进行任意数目的铸币，并为给定账户提供任意数目的奖励。

技术步骤分析如下：

LBANK蓝贝壳于3月22日18:00首发 DORA，开放USDT交易:据官方公告，3月22日18:00，LBANK蓝贝壳首发DORA(Dora Factory)，开放USDT交易，现已开放充值。

资料显示，Dora Factory 是基于波卡的 DAO 即服务基础设施，基于 Substrate 的开放、可编程的链上治理协议平台，为新一代去中心化组织和开发者提供二次方投票、曲线拍卖、Bounty 激励、跨链资产管理等可插拔的治理功能。同时，开发者可以向这个 DAO 即服务平台提交新的治理模块，并获得持续的激励。[2021/3/22 19:07:06]

ERC20Token.sol

代码地址：

https://github.com/MER-DAO/MEE-core/blob/main/contracts/tokens/ERC20Token.sol

首发 | 百度推动246家博物馆线上藏品上链:金色财经讯，近日，百度超级链联合百度百科，基于区块链技术创建 “文博艺术链”，推动百科博物馆计划中的246家博物馆线上藏品上链。基于“文博艺术链”，百度将与博物馆共同推动线上藏品版权的确权与维护，同时探索线上藏品版权数字化交易方式，为合作的博物馆提供更全面的服务和更多的权益。据介绍，此项目将分阶段进行，一期将完成线上藏品的入链确权，为每一件藏品生产专属的版权存证证书。让每一名用户可以在百度百科博物馆计划的PC端和WAP端的藏品页查看证书。后续，百度还将推动AI与区块链技术在文博领域的结合应用，用来保障上链数据与藏品相匹配，为后续进行藏品图像版权数字化交易奠定基础。[2019/1/30]

部署地址：

https://etherscan.io/address/0xe1b583dc66e0a24fd9af2dc665f6f5e48978e106#code

金色首发 EOS超级节点竞选投票率达6.49%:金色财经数据播报，截止北京时间6月13日15:50，EOS投票率达6.49%。EOS引力区和EOS佳能作为两个来自中国的超级节点竞选团队暂居第五和第六名。其中EOS引力区的得票总数为903万，占比2.96%；EOS佳能的得票总数为877万，占比2.87%。此前异军突起的EOSflytomars暂居第17位，得票总数为630万，占比2.07%。目前跻身前30名的超级节点竞选团队中，有八个团队来自中国。[2018/6/13]

图一: ERC20Token智能合约构造函数

图二：onlyIssuer修饰词

图三: 具有铸币方法的issue函数

如图一所示，项目拥有者在ERC20Token.sol智能合约中的构造函数可以将自身设置为issuer身份。由于在智能合约部署时，其构造函数会被自动执行，因此项目拥有者会自动成为issuer。

通过图二中显示的onlyIssuer修饰词的限制，任意拥有issuer身份的外部调用者将可以执行任意被onlyIssuer修饰词修饰的函数。

因此，拥有issuer身份的项目拥有者可以执行图三中具有铸币方法的issue函数，从而可以为任意账户铸造任意数目的代币。

除此之外，该项目还存在一个允许项目拥有者提供代币奖励的后门。该后门存在与AwardContract.sol智能合约中。

https://github.com/MER-DAO/MEE-core/blob/main/contracts/AwardContract.sol

https://etherscan.io/address/0x8Ea43ce113456f45defd0E27e809d719b9CA2362#code

图四：AwardContract智能合约构造函数

图五：onlyGovernor修饰词

图六：addFreeAward智能合约函数

当AwardContract.sol被项目拥有者部署到区块链上时，AwardContract合约的构造函数会被自动执行，也就意味着图四中43行代码被自动执行后，项目拥有者会自动被赋予governor身份。

拥有governor身份的外部调用者可以类似的执行任意被onlyGovernor修饰词修饰的智能合约函数，例如图六中所示addFreeAward函数。

由于所有外部调用者都可以通过调用图七中withdraw函数来将属于自己的奖励取出，因此当governor身份的外部调用者为某一个账户（假设为A）添加了某一数量的奖励后，A账户可以对该函数进行调用，并通过246行的判断条件检查后，通过在281行调用safeIssue()函数来取出被添加的奖励。

图7：withdraw智能合约函数

综上分析，Mercurity.finance项目中智能合约存在的后门漏洞均来自于项目拥有者权限过大。在该类中心化治理机制中，项目拥有者得到了可以随时获利或者摧毁项目经济系统的权利。

CertiK安全研究团队建议Mercurity.finance更新项目中采用的治理系统，引入社区管理的机制。

CertiK在此提醒广大用户：

1. 合约代码需要经过严格的安全验证和审计才可被允许公布。

2. 投资者在投资采用中心化治理机制的项目时需衡量风险，谨慎投资。

标签：ISSACTBOSTRAMISSOR价格Data TransactionBOS价格EquiTrader

莱特币热门资讯