假如川普可以虚假计票:Mercurity.finance智能合约安全漏洞分析

今年美国大选虽说有了广泛意义上的尘埃落定,但竞选结果并未明确。如今拜登团队宣布胜选,美国媒体纷纷宣布拜登当选下届美国总统。而另一方面,川普拒绝接受败选结果,他持续进行计票,并宣称要采取法律行动。造成如今这个混乱结果的首要原因在于美国没有设立独立的对大选事务具有权力的权威性的选举委员会,在默认情况下,是新闻机构承担了这个角色。假如川普获得过大的权力,控制了大多新闻机构,营造虚假选票,结果尚未可知。这就意味着某种程度上,可以说是极尽中心化的“推特治国”后的又一“媒体选举”。从选举,到互联网,到区块链,2020年,中心化不再是权威的体现,而是“独断”、“专权”的代名词。北京时间11月9日,CertiK安全研究团队发现DeFi项目Mercurity.finance智能合约代码部分存在中心化风险。项目拥有者拥有过大权限,可以进行任意数目的铸币,并为给定账户提供任意数目的奖励。技术步骤分析如下:ERC20Token.sol代码地址:https://github.com/MER-DAO/MEE-core/blob/main/contracts/tokens/ERC20Token.sol部署地址:https://etherscan.io/address/0xe1b583dc66e0a24fd9af2dc665f6f5e48978e106#code

巨鲸地址向交易所转入1.5万枚以太坊:金色财经报道,据Lookonchain监测,此前在USDT脱锚后从Aave借出5000万枚USDC进行套利的巨鲸地址,已从Aave撤回1.5万枚以太坊并转入币安、Kraken和Coinbase。目前该地址已开始从交易所提出稳定币来偿还Aave上的贷款。[2023/6/19 21:47:48]

图一:ERC20Token智能合约构造函数

CFTC顾问:美国应监管中心化中介机构而不是去中心化技术:金色财经报道,加密风投公司CoinFund总裁、商品和期货交易委员会(CFTC)顾问Chris Perkins发表了一份监管白皮书并警告说,美国在加密货币方面有落后的风险。Perkins表示,在FTX交易所倒闭后,美国陷入了反动的监管浪潮中,而其他司法管辖区现在正在向机会开放并向前发展。他指出,香港对加密货币重新开放,以及欧盟刚刚通过的加密资产监管框架MiCA的到来。白皮书为政策制定者提供了 10 条建议,包括呼吁监管中心化中介机构而不是去中心化技术,优先考虑与美国证券交易委员会委员 Hester Peirce 的提议一致的沙箱和安全港计划。[2023/4/21 14:16:53]

图二:onlyIssuer修饰词

浙江数字人民币试点启动一周年,交易规模达1548亿元:金色财经报道,人民银行杭州中心支行于3月31日透露,截至目前,浙江省数字人民币钱包开立数量达到2650万,支持受理数字人民币商户数量157万个,交易笔数7542万笔,交易金额1548亿元,核心指标处在国内试点地区前列。下一步,浙江省金融系统将持续抓好杭州2022年亚运会、政府侧场景、民生领域增量扩面等重点工作领域,推进数字人民币试点的提质增效、创新升级。[2023/4/1 13:38:22]

意大利立法者批准对加密货币征收26%的资本利得税:金色财经报道,加密货币交易者将从2023年开始缴纳意大利26%的资本利得税。意大利总理Giorgia Meloni的2023年扩张性预算在年底前敲定,其中包括210亿欧元(223亿美元)的税收减免,以帮助企业和家庭应对持续的能源危机。这份387页的预算通过将加密资产定义为“一种价值或权利的数字表示形式,可以使用分布式账本技术或类似技术以电子方式传输和存储,从而使加密资产合法化”。法案规定,如果每个纳税期交易加密资产超过2000欧元,则26%的税率适用于加密交易的收益。新法案还为投资者设定了截至2023年1月1日持有资产价值的14%(而不是购买成本或价值)的“替代所得税”。[2022/12/31 22:17:31]

图三:具有铸币方法的issue函数如图一所示,项目拥有者在ERC20Token.sol智能合约中的构造函数可以将自身设置为issuer身份。由于在智能合约部署时,其构造函数会被自动执行,因此项目拥有者会自动成为issuer。通过图二中显示的onlyIssuer修饰词的限制,任意拥有issuer身份的外部调用者将可以执行任意被onlyIssuer修饰词修饰的函数。因此,拥有issuer身份的项目拥有者可以执行图三中具有铸币方法的issue函数,从而可以为任意账户铸造任意数目的代币。除此之外,该项目还存在一个允许项目拥有者提供代币奖励的后门。该后门存在与AwardContract.sol智能合约中。AwardContract.sol代码地址:https://github.com/MER-DAO/MEE-core/blob/main/contracts/AwardContract.sol部署地址:https://etherscan.io/address/0x8Ea43ce113456f45defd0E27e809d719b9CA2362#code

上海宝山发布工业元宇宙产业发展三年行动计划,将打造示范工厂:金色财经消息,9月2日,以“数实融合,产业元生”为主题的第九届中国产业互联网高峰论坛暨2022世界人工智能大会分论坛在上海宝山区举行,《宝山区工业元宇宙产业发展三年行动计划》同步发布,明确到2025年,宝山区工业元宇宙相关产业规模突破100亿元。同时,还要实现工业元宇宙与主导产业融合发展,助力宝山区新材料、生物医药、机器人及智能制造、新一代信息技术产业规模分别突破1500亿元、200亿元、1000亿元和300亿元。(上观新闻)[2022/9/2 13:04:28]

图四:AwardContract智能合约构造函数

图五:onlyGovernor修饰词

图六:addFreeAward智能合约函数当AwardContract.sol被项目拥有者部署到区块链上时,AwardContract合约的构造函数会被自动执行,也就意味着图四中43行代码被自动执行后,项目拥有者会自动被赋予governor身份。拥有governor身份的外部调用者可以类似的执行任意被onlyGovernor修饰词修饰的智能合约函数,例如图六中所示addFreeAward函数。由于所有外部调用者都可以通过调用图七中withdraw函数来将属于自己的奖励取出,因此当governor身份的外部调用者为某一个账户添加了某一数量的奖励后,A账户可以对该函数进行调用,并通过246行的判断条件检查后,通过在281行调用safeIssue()函数来取出被添加的奖励。

图七:withdraw智能合约函数综上分析,Mercurity.finance项目中智能合约存在的后门漏洞均来自于项目拥有者权限过大。在该类中心化治理机制中,项目拥有者得到了可以随时获利或者摧毁项目经济系统的权利。CertiK安全研究团队建议Mercurity.finance更新项目中采用的治理系统,引入社区管理的机制。CertiK在此提醒广大用户:1.合约代码需要经过严格的安全验证和审计才可被允许公布。2.投资者在投资采用中心化治理机制的项目时需衡量风险,谨慎投资

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

火币APP下载梓岑:EOS为什么长期低迷?

一直被我们忽视的不可承受之重:EOS为什么长期低迷关于Blockone,应该近期会有一个新的进展公布,一切以官网为主,就不多说了。今天给一些我从来没说过,但是长期以来又被所有人忽视的数据.

UNI“底线思维”是什么?当下的三条投资建议

昨天的文章发出后,有读者反应看完文章后觉得内心很不安,现在不知道该怎么做比较合适了。实际上昨天的文章表达的只是我对当下市场中酝酿的不稳定因素的担忧。这并不表示我担心的那些事情一定会发生.

[0:15ms0-0:951ms