ETH:以太坊FAIRWIN智能合约存在漏洞？详细技术分析在这里_ZETH

作者：

时间：1900/1/1 0:00:00

近日，FAIRWIN智能合约存在漏洞这一问题引起各方关注，FAIRWIN作为近日以太坊链上交易量最高的资金盘模式应用，在以太坊链上还存在大量类似的克隆盘，如果存在隐藏漏洞会给公链带来较大风向，因此成都链安安全人员对FAIRWIN智能合约展开了深度分析，分析结果如下：

通过对FAIRWIN合约代码进行审计，我们发现其合约存在一个remedy()接口，如果合约owner没有通过close()关闭接口时，该接口可以被任意用户调用，并且可以通过这个接口伪造投注数据，实现“无中生有”，在不使用任何资金的情况下伪造了充值记录，之后攻击者便可以享受分红，或者通过userWithDraw()将余额全部提出。

Yearn Finance宣布推出新以太坊资金库Curve Rocket Pool:3月23日消息，官方消息，Yearn Finance宣布推出新以太坊资金库Curve Rocket Pool，用户可使用Rocket Pool ETH (rETH) 和Lido stETH (wstETH) 在Curve Finance池的两侧赚取ETH质押奖励。因为该池两侧均为ETH质押代币，用户可获得以太坊质押奖励、CRV释放以及Curve交易费用。Yearn将自动收集CRV和CVX释放并将其重新存入保险库，以提高收益。

用户Yearn Zaps将任何主要代币（ETH、 USDC等）存入此资金库，Zaps将通过Yearn在一次交易中自动将存款转换为rETH+wstETH，将其投入Curve池以及质押。[2022/3/23 14:12:45]

90％的以太坊地址目前处于盈利状态:金色财经报道，据Glassnode数据，持有ETH的所有以太坊地址中目前有90％处于盈利状态，为自2018年1月以来的最高水平。而在2020年3月，只有3.2%的以太坊地址盈利。[2020/12/29 15:56:17]

通过链上记录，我们发现项目方已于2019年7月28日通过closeAct关闭了该接口。通过成都链安Beosin-AML系统分析项目方所有的交易记录，我们进一步分析是否已经存在攻击者插入投注数据成功的情况。通过分析发现，该漏洞已被严重滥用。从十天前到现在为止，陆续有账户尝试调用remedy()接口来插入投注数据，不过由于该操作已被关闭，导致插入数据失败，可以看到插入金额都是几万ETH。

插入失败记录：

以太坊客户端Geth在最新版本中加入了减少抢先交易的逻辑:以太坊官方客户端Geth在最新的双周维护版本1.9.19中加入了减少抢先交易（front-running）的机制。变更记录中表示，该版本将会在挖矿过程中，按交易收到时间对同价交易进行排序，以减少抢先交易的情况。[2020/8/17]

美联储主席：基于以太坊的Ameribor是Libor的一种替代选择:美国参议员Tom Cotton最近提问，美联储是否支持替代伦敦银行同业拆借利率（LIBOR）的替代基准利率，例如AMERIBOR。美联储主席鲍威尔（Jerome H.Powell）在5月28日发表的书面声明中表示，基于以太坊的AMERIBOR是LIBOR的一种替代选择，LIBOR是短期利率的基准。据福布斯2019年11月报道，前CFTC主席Christopher Giancarlo表示，由纽约联邦储备银行推出的SOFR （担保隔夜融资利率）和美国芝加哥期权交易所与美国金融交易所（AFX）联合推出的AMERIBOR（无担保贷款隔夜基准利率），将作为互为补充的担保隔夜融资利率标准，分别将被用于美国大型金融机构和中小企业间的借贷交易。AMERIBOR将在需许可的以太坊上运行，共识算法为权威证明（PoA）。在AMERIBOR的使用场景下，美国金融交易所将对交易参与方发放ERC-721标准的NFT，每枚代币将在交易开始时自动生成，并通过智能合约完成自动化的结算。（Beincrypto）[2020/6/4]

通过完整追溯，我们总共发现503条插入成功的交易记录，且插入日期都在项目方关闭接口之前。经统计，这503条交易全部由地址0xcb104fA25a1a46040DBaB9F554FF564CE325668b发起。