CertiK:Keep3r项目中心化风险漏洞分析

北京时间2020年11月20日,Telegram社群出现某些截图声称Keep3rLink接受了CertiK的审计服务。在此,CertiK郑重声明:CertiK团队从未对"Keep3rLink"项目进行过任何审计。同日,CertiK安全研究团队发现Keep3r项目存在中心化安全风险。项目拥有者拥有过大权限,可将允许奖励的限制提高,从而可以向任意参与者发送任意数额的奖励且可向任意地址铸造任意数目代币。项目风险及相关细节

Keep3rV1:代码地址:https://github.com/部署地址:https://etherscan.io/Keep3rV1Helper:代码地址:https://github.com/keep3r-network/keep3r.network/blob/master/contracts/Keep3rV1Helper.sol部署地址:https://etherscan.io/address/0x93747c4260e64507a213b4016e1d435c9928617f如下图图一所示,Keep3r项目的Keep3rV1智能合约中定义了两个角色:governance与pendingGovernance。1178行setGovernance()函数允许当前governance角色将pendingGovernance角色设定为任意给定地址_governance。同时在1186行acceptGovernance()函数中,当前pendingGovernance可以将自己授权为governance角色。因此从逻辑上governance角色与pendingGovernance角色可以循环授权,且没有任何event事件可以提醒投资者governance角色与pendingGovernance角色的变更。此时,项目拥有者可以随意设置拥有两个角色的地址。

The Block Research副总裁Larry Cermak升任CEO:3月31日消息,The Block Research 副总裁 Larry Cermak 在社交媒体上发文表示,其个人将出任 The Block 首席执行官一职。同时,加密做市商 Wintermute 创始人兼首席执行官 Evgeny Gaevoy 正加入 The Block 董事会。

Larry Cermak 表示,目前加密市场的环境与 5 年前大不相同,The Block 需要调整以更快地适应市场波动,其个人当前的目标是引导 The Block 实现盈利,工作将专注于创收并精简其员工队伍。The Block 未来仍将致力于加倍投入研究、数据和新闻,确保继续提供高质量内容。[2023/3/31 13:38:03]

Balancer警告有630万美元的资金面临风险,督促部分池的 LP 尽快提取流动性:金色财经报道,Balancer已警告其流动性提供商从五个资金池中撤出资金,其中有630万美元面临风险。部分 Balancer 池的协议费用已设置为 0,以避免即将公开披露的一个问题,该问题已得到缓解。该举措是由紧急多重签名完成的。这些池继续正常运行,因此这些池的流动性提供者不需要采取任何行动,他们将继续收取掉期费用,但协议不会进行扣除。

随后,Balancer 又督促部分池的 LP 尽快提取流动性,因为紧急 DAO 无法缓解该相关问题。这五个池分别位于以太坊、Polygon、Optimism和Fantom。最大的资金池是DOLA / bb-a-USD,目前管理着360万美元的资金。[2023/1/6 10:58:44]

图一:governance、pendingGovernance角色以及KPRH设置函数setKeep3rHelper()一旦拥有governance角色,拥有角色的地址可以利用图一中1169行setKeep3rHelper()函数对当前KPRH指向的Keep3rHelper智能合约进行修改。修改之后图二中1076行KPRH.getQuoteLimit()的具体实现就也极有可能被修改,接下来会返回给调用该函数的Keep3rV1合约不同的返回值。

Larry Cermak:LFG花费30亿美元来捍卫UST锚定但仍以失败告终:5月16日消息,The Block研究副总裁Larry Cermak在推特上表示,总而言之,LFG的储备从一周前的31亿美元变成现在的约8700万美元。这意味着他们花了大约30亿美元来捍卫UST锚定,但UST还是崩溃了。[2022/5/17 3:20:32]

图二:对某个用户keeper进行奖励的函数workReceipt()项目拥有者如果考虑发动攻击,由于拥有governance角色,因此可以首先调用图三中addKPRCredit()函数。在916行对某一个job的地址给与任意数目的信用数目credit。之后可以部署一个新的Keep3rHelper智能合约,然后在该智能合约中的将getQuoteLimit方法定义为返回uint类型变量的最大值。然后项目拥有者可以使用ADDR_A的地址来调用图1中setKeep3rHelper()函数,将KPRH值指向给定的Keep3rHelper智能合约。最终调用图二中workReceipt()函数,由于1076行代码由于KPRH.getQuoteLimit()函数被指定返回最大值的缘故必定通过。在1077行中由于项目拥有者使用ADDR_A的地址来进行的调用,其在该智能合约中拥有的信用数目为CREDIT_A,因此amount的数目可以为略小于CREDIT_A的任意值。当通过1077行之后,amount的奖励数目被给与keeper的地址。最终该keeper可以调用合同内部的ERC20的转移函数,将获得的奖励转移到自己给定的地址中,完成攻击行为。

Aave社区提议与Balancer达成战略合作,并购买30万枚BAL代币:3月23日消息,官方消息,Aave社区提议与Balancer达成战略合作,将经济储备中的14,666.67 AAVE兑换成200,000 BAL代币;部署Bonding Curve以在市场上额外获得100,000个BAL代币,成本为1,105,500美元。Aave将成为拥有300,000 BAL代币的八位代币持有者之一。所有300,000个BAL代币都将存入Balancer V2 BAL:ETH (80:20) 池,并在3月28日参与Balancer修订后的代币经济学。[2022/3/23 14:12:38]

图三:对某个job增加信用数目credit的函数addKPRCredit()除了上文讲述的中心化风险漏洞之外,图四中的mint()允许为governance角色的地址铸造任意数目的代币。由于governance角色的地址可以通过图一中的setGovernance()函数以及acceptGovernance()进行设置。也就代表着项目管理者只要拥有governanvce角色,即可以通过重设governance角色地址的方式,向任意地址铸造任意数目的代币。

Balancer Grants DAO已上线并接受赠款申请:官方消息,BalancerDAO治理投票通过后,Balancer Grants DAO已上线并接受赠款申请。Balancer Grants DAO将作为一个独立的社区拥有的Balancer生态系统的赠款计划。第一个周期将持续3个月,预算为20,000 BAL(按今天的估值约为50万美元)分配给Balancer Grantees。[2021/8/20 22:25:37]

图四:允许governance角色随意铸造代币的函数mint()通过查询etherscan上Keep3rV1智能合约的数据,图五显示Keep3rV1拥有者地址为0x2d407ddb06311396fe14d4b49da5f0471447d45c。同时,如图六显示,北京时间11月20日早11点governance角色的地址也为0x2d407ddb06311396fe14d4b49da5f0471447d45c。可以得知项目拥有者拥有governance角色权限,因此有权限可以通过上述中心化漏洞进行攻击并获利。

图五:Keep3rV1智能合约拥有者等相关信息

图六:governance角色地址总结

区块链作为时代颠覆性的核心技术,也已在各个领域得到了广泛的应用,隐藏在收益和利好之下的安全隐患也不应被忽视。安全审计现在已经是高质量项目的标配。若项目没有被审计,对于用户来说,投资行为则要格外慎重;对于项目方来说,则需要准备好相关资料并寻找专业并且声誉好的审计公司进行审计。若项目被审计过,则需尽量了解审计公司背景以及其审计报告中的各项指标。CertiK采用形式化验证工具来证明智能合约可靠性,公司内部审计专家将利用包括形式化验证在内的多种软件测试方法,结合一流的白帽黑客团队提供专业渗透测试,从而确保项目从前端到智能合约整体的安全性。近期,有部分项目方假借CertiK的名义发布不实审计报告。首先,CertiK很感谢项目方对我们的认可。但项目方应对项目的发展负责,一份完整且符合安全标准的安全审计报告不可或缺,如您有审计需求,欢迎点击CertiK公众号底部对话框,留言免费获取咨询及报价!CertiK在此提示:任何与CertiK审计相关的消息,请仔细甄别。切勿轻信相关不实内容,并请以CertiK官方或权威媒体发布的消息为准。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

FTX从分叉问题看链上治理的重要性

编者按:本文来自WebX实验室Daily,Odaily星球日报经授权转载。相对于互联网时代流量为王,平台之上的价值观,Web3.0时代可能更偏向于社区生态,这将带来一种改变企业、用户关系的全新市场生态.

DYDXSwap之争:Uni停矿,Sushi谋变

编者按:本文来自蜂巢财经News,作者:凯尔,Odaily星球日报经授权转载。Uniswap停止流动性挖矿后,做市资金大幅流失,锁仓量已由30多亿美元下降至17.6亿美元。最大的受益方非SushiSwap莫属.

[0:0ms0-1:638ms