北京时间11月12日,CertiK安全研究团队发现DeFi项目text.finance智能合约代码部分存在安全漏洞。分析之前,先考考大家的眼力,看看下图里面的文字说了什么。
如果看不清,不妨点击图片后把屏幕亮度调至最高。有的时候,某些不想让你看到的因素,正是通过排版或者这样的方式,被刻意隐藏了起来。接下来说说该项目中存在的两处漏洞。大家不妨在阅读文章的时候注意一下图中的位置。第一弹:项目拥有者可通过第一处漏洞,将指定数目代币转移到任意地址。第二弹:项目拥有者可通过第二处漏洞,将任意投资者的流动性池中的资产强制转移到项目拥有者的地址中。漏洞分析
CertiK:警惕推特上假冒AVAX空投的虚假宣传:金色财经报道,据CertiK官方推特发布消息称,警惕推特上假冒AVAX空投的虚假宣传,请用户切勿与相关链接互动,该网站会连接到一个已知的自动盗币地址。[2023/7/12 10:50:48]
textMiner.sol部署地址:https://etherscan.io/address/0x9858728de38c914c2ea32484a113b6628d984a82#code1.漏洞一项目拥有者在textMiner.sol智能合约1000行处实现了withUpdates()函数。该函数的的作用是可以将任意数量的为devaddr地址铸造任意数量的代币。而通过查看图2中devaddr和项目拥有者owner的地址值,可以发现两者相同,因此项目拥有者可以通过该漏洞为devaddr地址铸造任意数目代币。同时,当前的devaddr地址拥有者可以通过图3的dev()函数将devaddr地址值更换到另外一个地址,因此最终项目拥有者可以更换将devaddr地址值更换的方法,向任意地址中铸造任意数目代币。虽然项目拥有者将图1中的withUpdates()函数设置为不允许智能合约外部调用,但是却有意地在图4中919行实现了允许被外部调用的add()函数,然后通过921行代码调用withUpdates()函数,从而实现向devaddr地址铸造1000000000000000000000000000000数量代币。
Balancer:正研究bbeUSD按比例取款的解决方案,预计下周初进行:3月15日消息,去中心化交易协议 Balancer 发推表示,我们正在积极研究一种解决方案,以在 UI 上启用 bbeUSD 的按比例取款。这预计会在下周初进行,一旦上线就会更新社区。[2023/3/16 13:06:36]
图1:第1000行中的withUpdates()函数
Near Foundation负责人:将帮助Tracer等项目迁移至Near Protocol:5月23日消息,Near Foundation负责人Nicky Chalabi表示,在Terra陷入死亡螺旋后,像Tracer这样的项目在寻求与其生态系统核心价值相一致的盟友,以支持其未来的路线图。Tracer和Near使用相同的编程语言构建智能合约,这将进一步简化迁移过程。此外,Near Protocol可以通过分配资源了解项目需求、与项目合作并解决任何问题等方式来帮助Tracer等项目控制损害程度。(cointelegraph)[2022/5/23 3:35:44]
图2:devaddr地址以及项目拥有者owner地址
Seaweed Finance:因审计机构Certik对Seaweed的二次审计,Dapp上线时间将推迟:据Seaweed Finance官方消息,为进一步确保Seaweed Dapp链上数据安全性,Seaweed 已邀请审计机构Certik,对其进行二次审计,目前审计流程已开启。
此前Seaweed已通过Armors关于solidity合约的审计。Seaweed CTO Coke表示,Dapp上线时间推迟的决定,是Seaweed开发团队在权衡未来用户交易资金安全性后做出的慎重决策,相信Seaweed社区广大用户会理解,并支持“Seaweed将维护用户交易资金安全进行到底”所采取的一切措施。Seaweed Dapp上线时间将于近期在其官网公示。
Seaweed Finance 是基于HECO链上的期权衍生品交易平台,通过利用BSM定价模型和AMM流动性池,Seaweed旨在为DeFi生态系统建立一个金融衍生平台。[2021/3/18 18:56:48]
图3:dev()函数
金色独家|CertiK联合创始人:只爆漏洞不是安全公司核心价值 既要盈利也要践行社会责任:金色财经现场报道,在6月27日在圣何塞会议中心举行的Blockchain Connect会议上,CertiK联合创始人顾荣辉接受金色财经专访中谈到区块链安全问题,他说:安全公司应该考虑既能保持盈利,也能履行社会责任。当前区块链安全问题不仅来自合约层,在公链、交易所也普遍存在。仅仅爆出漏洞不能真正解决不安全的现状,而更多的是为了给安全公司带来名气。安全公司应该帮助公链、交易所、智能合约层把BUG排除掉,用技术验证的形式,证明代码真正处于安全状态,以此增加区块链项目价值,践行安全公司的社会责任。顾荣辉进一步解释了CertiK研发的“形式化验证”技术:取代传统测试、代码审计的方法,用数学的方法证明代码模型与设计模型相匹配,从而确保区块链安全。[2018/6/28]
图4:add()函数2.漏洞二
图5:emergencyWithdraw()函数项目拥有者可以通过调用图5中emergencyWithdraw()函数,将某一个特定地址投资者的某一个流动性池中的流动性资产全部取出,并转移到项目拥有者的地址中。该emergencyWithdraw()函数是一个基于正确的emergencyWithdraw()函数。因此就算审视合约者不恶意揣测,也很难说项目方不是恶意改写,并添加了该漏洞。从下图6的对比中可以发现,Sushiswap允许投资者通过调用emergencyWithdraw()函数,紧急取出属于自己的流动性资产,而在text.finance中却仅允许项目拥有者来调用该函数,同时允许项目拥有者取出属于任何投资者的流动性资产。
图6:text.finance和sushiswap项目中emergencyWithdraw()函数实现对比安全建议
CertiK安全研究团队认为当投资者在对DeFi项目进行投资时,不仅需要对智能合约常见的代码有所了解,更需要谨慎地审视具体代码的实现逻辑。否则极易掉入类似该项目中的恶意漏洞陷阱当中。对于非技术背景的投资者,更需要了解项目是否经过严谨的技术审计。从Text.finance项目的恶意漏洞中可以看出,盲目投资一个没有经过严格审计的项目,或引发极大风险,并造成难以估量的损失。CertiK是采用形式化验证工具来证明智能合约可靠性的业内顶尖公司。公司内部审计专家将利用包括形式化验证在内的多种软件测试方法,结合一流的白帽黑客团队提供专业渗透测试,从而确保项目从前端到智能合约整体的安全性。如你的项目需要保障,请发送邮件至bd.china@certik.org或直接后台留言进行免费咨询及报价。于此同时,CertiK的新产品预言机及快速扫描,也将为链上项目进行实时打分并且出具快速扫描分数。如果你需要查找某项目的信息及安全分数,请登录CertiKFoundation官网的CertiKShield页面进行浏览:https://shield.certik.foundation/欢迎搜索微信关注CertiK官方微信公众号,点击公众号底部对话框,留言免费获取咨询及报价!
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。