CertiK:Soda项目智能合约安全漏洞分析

判断一个人到底属于什么资产阶级,只需要看他的负债率。简而言之,借的钱越多,代表你越有钱。所以借钱从某种角度上来讲,是属于富人的游戏。通过借贷手段合理分配资产从而达到收益也是理财的精髓。相信每个人都好奇过,银行到底拿我们存的钱去做什么了呢?从这种角度上来讲,银行属于最大的欠款方。那如果,突然有人攻破了银行系统,强制银行“还款”,然后本来需要还到储蓄者账户里的钱款直接被攻击者收入囊中,储蓄者和银行都将成为最大的受害方。

Balancer计划为HAUS/WETH、COW/GNO、COW/WETH池添加veBAL流动性Gauge:4月9日消息,去中心化交易所Balancer发布三个社区提案投票,分别计划为HAUS/WETH、COW/GNO、COW/WETH 池添加 veBAL 流动性 Gauge,从而使得 Balancer 奖励可以分配到这些流动性池中。[2022/4/9 14:14:25]

北京时间9月21日,CertiK安全研究团队发现soda区块链项目中存在智能合约安全漏洞,该漏洞允许任意外部调用者通过调用智能合约函数,无视受害用户债务中的代币数目,强行结算受害用户的债务,并将通过结算操作所得的收益转入到自己的收款地址。soda项目官方现在已经提交修复补丁来修复这个安全漏洞,但由于soda项目采用了TimeLock来将所有的操作延迟48小时,修复补丁会在延迟事件之后生效,因此截止发稿时,该漏洞已完成修复。漏洞技术分析

Balancer加入Vesta Finance激励计划:2月13日消息,抵押借贷协议Vesta Finance发推称,合作伙伴Balancer已加入其激励计划,每周将向Balancer上的VSTA-ETH池释放1000枚BAL(约1.3万美元)。BAL激励将在2月14日星期一UTC时间00:00开启。

目前的VSTA-ETH池质押者不需要做任何事情,因为Balancer的奖励系统将直接向那些在Vesta Finance质押合约中质押的用户发放奖励。[2022/2/13 9:49:13]

Balancer社区投票同意将DEXG流动性挖矿上限提高至300万美元:刚刚,DeFi协议Balancer(BAL)官方宣布,针对提高DEXG流动性挖矿上限的投票已结束。投票结果显示,社区支持将DEXG流动性挖矿上限从100万美元提高至300万美元。[2021/1/18 16:24:52]

https://github.com/

Balancer上线分配治理代币BAL 日内涨超2倍:此前报道,Balancer在其以太坊主网上正式部署治理代币BAL,BAL现已在Balancer交易平台、去中心化交易所Uniswap以及MXC抹茶上交易。

行情显示,BAL价格日内已从7美元涨到最高22美元,现报16.12美元。有分析称,BAL的上线似乎在复制DeFi协议Compound的模式。Compound上周同样上线了其治理代币COMP,上线之后不久,Compound就超过了MakerDAO成为第一大DeFi项目。COMP代币也急剧增长443%。[2020/6/24]

动态 | 百货公司Pricerite宣布开始接受BTC、ETH、LTC支付:百货公司PriceRite宣布将在其商店接受加密货币BTC、ETH、LTC付款。其中,中国香港地区的MegaBox购物中心将立即启动。[2019/8/29]

soda项目中的WETHCalculator.sol智能合约中存在逻辑实现错误导致的安全漏洞,图一中WETHCalculator.sol智能合约第193行,maximumLoad的计算公式错误的使用了amount作为基础值。因此,在196行满足require()判断的检测条件loanTotal>=maximumLoan可以转换为:loanInfo.amount+interest>=loanInfo.amount*maximumLTV/LTV_BASE由于maximumLTV/LTV_BASE的值是在0.15-0.95区域中变动,并且interest>=0。因此图一196行的require()判断中的检测条件总是为真。失去了该require()判断的保护,任何外部调用者可以通过调用以下图二中SodaBank.sol中104行的collectDebt()函数来将任意loadId的贷款清空。在执行该函数的过程中,图一中的collectDebt()函数会在图2第121行被执行,并通过123行和125行代码将该用户锁在soda里面的WETH的其中一部分转移到该外部调用者的地址msg.sender中:

https://github.com/通过以上漏洞,任何外部调用者都可以通过调用SodaBank.sol中的collectDebt()并传入其他用户的loadId来清空该用户在soda中的代币。官方修复细节

soda官方为修复以上漏洞,设计了新的智能合约WETHCalculatorFixed.sol来替换WETHCalculator.sol。通过分析可以看到在图三WETHCalculatorFixed.sol智能合约第979行,maximumLoan的计算公式被正确的计算为loanInfo.lockedAmount*maximumLTV/LTV_BASE。因此,图三中第982行require()判断的检测条件变更为:loanInfo.amount+interest>=loanInfo.lockedAmount*maximumLTV/LTV_BASE

https://github.com/该等式的代码实现与soda项目中的逻辑设计相符,该等式的真假与用户的借贷债务数目和被锁本金数目相关。漏洞完成修复。soda项目中关于该等式的逻辑设计细节可以从下面的链接中进行了解:https://medium.com/soda-finance/the-soda-revolution-9185fdb99fc1事件分析总结

该漏洞是由于逻辑设计与代码实现不符而造成。当前常用的单元测试等测试方法以及自动化的测试工具均无法有效的查找到该种与逻辑相关的漏洞。因此,CertiK安全团队有以下安全建议:安全是区块链项目的立足之本,任何区块链项目在上线前需要请专业第三方安全审计团队对项目整体代码进行安全审计。当前区块链检测工具对智能合约的检测均无法检测其逻辑上出现的漏洞,其结果也没有可信的数学证明作为支撑。形式化验证是当前唯一被证明可以产生可信数学证明的软件验证方法。采用基于形式化验证方法的区块链检测工具来验证项目中的安全漏洞,应成为每一个项目在上链前的必经步骤

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

SHIBDeribit期权市场播报:0911 — 平稳交割

上周的交割颇不平静,交割前末日轮期权涨个三五倍都见怪不怪了。本周一整周都在横盘,但是隐含波动率一直高于上周。即便是今天隐含波动率明显下降至63%,仍高于上周交割时的60%。市场并没有迎来期待中的行情,这周是平稳交割.

ICPDeFi常用的ERC20智能合约地址大全

目录一、稳定币USDT智能合约地址DAI,MakerDAO的稳定币,智能合约地址TUSDUSDC智能合约地址cUSDTPaxosStandard(PAX)dForceUSDCdForceDAI二、BTC、ETH的映射币wBTCwETH.

狗狗币科普 | 扩展DeFi吞吐量:Layer-One篇

编者按:本文来自以太坊爱好者,作者:RemcoBloemen,翻译&校对:闵敏&阿剑,Odaily星球日报经授权转载。如果你最近用过DeFi,最近高涨的交易费会令你瞠目结舌.

[0:15ms0-1:796ms