北京时间8月31日和9月1日,CertiK安全研究团队发现Sushiswap仿盘的两个项目YUNoFinance(YUNO)与KIMCHI.finance(KIMCHI),其智能合约均存在漏洞。如果利用该漏洞,智能合约拥有者可以无限制地增发项目对应的代币数目,导致项目金融进度通胀并最终崩溃。
无限增发漏洞
以Yuno项目中智能合约为例,CertiK安全研究团队对于该无限增发漏洞进行了详细分析,技术细节如下:
在Yuno项目中的MasterChef.sol智能合约第1354行中,dev方法可以允许当前拥有devaddr身份的智能合约调用者,将devaddr身份转移给另外一个地址。
CertiK以近10亿美元估值完成8000万美元B2轮融资,红杉资本领投:12月1日消息,区块链安全公司CertiK于2021年11月30日宣布完成8000万美元的B2轮融资,再次刷新区块链安全赛道单笔最大融资额。该轮融资由红杉资本领投,Tiger Global、高瓴创投、Coatue Management、顺为资本等老股东持续跟投。CertiK在四个月内共完成三轮融资,总融资额超过1.4亿美元,估值近10亿美元。在过去一年中,CertiK完成了20倍的收入增长,员工人数增加了4倍。此外,CertiK为超过1800家企业级客户提供区块链安全服务,挖掘了超过31000个代码漏洞、保护了超过3000亿美元的数字资产安全。[2021/12/1 12:42:55]
截图出自:
Larry Cermak谈“聘请0xMaki领导Sushi”:预先支付50万SUSHI实在太多了:The Block研究总监、Sushiswap九名多签见证人之一Larry Cermak发推就(Adam Cochran提议的)“聘请Sushiswap联合创始人0xMaki全职领导项目”的提案表示:我完全支持给予创始人更多奖励,但预先支付50万SUSHI代币实在太多了,我不会支持这个提案,我建议降低预先支付的金额,将更多资金改为长期支付。
注:此前,Cinneamhain Venutres合伙人Adam Cochran提交了一项提案投票,旨在聘请0xMaki来领导该项目。该提案指出,如果聘请0xMaki全职领导项目,将会:
1. 预先支付50万SUSHI代币,并在锁定一份50万SUSHI币的创始人捐赠;
2. 如果两年后继续为SUSHI工作还会支付额外50万SUSHI币报酬。[2020/9/12]
https://etherscan.io/address/0x450f143f1a8650fff968d890814bd5884bdc8f1d#code
Balancer上线分配治理代币BAL 日内涨超2倍:此前报道,Balancer在其以太坊主网上正式部署治理代币BAL,BAL现已在Balancer交易平台、去中心化交易所Uniswap以及MXC抹茶上交易。
行情显示,BAL价格日内已从7美元涨到最高22美元,现报16.12美元。有分析称,BAL的上线似乎在复制DeFi协议Compound的模式。Compound上周同样上线了其治理代币COMP,上线之后不久,Compound就超过了MakerDAO成为第一大DeFi项目。COMP代币也急剧增长443%。[2020/6/24]
下图中可以看到在智能合约1282行的mint方法是由修饰器onlyOwner进行限制,修饰器onlyOwner决定了只能是智能合约拥有者来执行这个合约。
动态 | CertiK获OKEx最佳安全审计伙伴奖:在刚刚闭幕的2018OKEx产业共赢大会上,CertiK荣获最佳安全审计伙伴奖项。CertiK是美国形式化验证公司,专注于以深度规范技术(DeepSpec)验证智能合约安全,提供安全审计服务。目前,CertiK已成为多家交易所指定代码审计机构并达成战略合作关系,并对数十家区块链项目完成了严格的代码审计服务。[2018/7/23]
以上三截图均出自:https://etherscan.io/address/0x450f143f1a8650fff968d890814bd5884bdc8f1d#code
拥有devaddr身份的调用者,当其身份恰好同时为owner身份的时候,可以通过调用MasterChef.sol智能合约1282行的mint方法,来无限制的增发代币。1282行的mint方法会继续调用1130行的mint方法,并继续由1130行mint方法调用1044行的_mint方法,并最终完成代币增发的操作。
Kimichi项目智能合约中存在的无限增发漏洞与以上漏洞基本相同,因此在这里不进行重复叙述。
如果owner和devaddr的地址如果相同,那么在外部没有对智能合约拥有者限制的情况下,智能合约拥有者拥有权利增发任意数量的代币,这将会将投资者置于风险之中。那么Yuno和Kimichi这两个项目中的devaddr和owner是否为同一人呢?是否有其他外部制约机制可以限制这两个项目的智能合约拥有者呢?
下图为Yuno项目MasterChef.sol智能合约中拥有devaddr和owner身份的地址。
截图出自:https://etherscan.io/address/0x9dd5b5c71842a4fd51533532e5470298bfa398fd#readContract
下图为Kimichi项目中KimchiChef.sol智能合约中拥有devaddr和owner身份的地址。
截图出自:https://etherscan.io/address/0x9dd5b5c71842a4fd51533532e5470298bfa398fd#readContract
从上两图中可以看到,Yuno项目中拥有devaddr和owner身份的地址为同一个,因此其智能合约拥有者有权利进行无限制的代币增发。而Kimichi项目中拥有devaddr和owner身份不同,但由于devaddr的身份可以进行转移,因此也存在一定的风险。
目前措施
为了确保无限增发漏洞不会被触发,对于Yuno和Kimichi两个项目的智能合约拥有者必须由外部进行限制。当前已经实施的限制条件与Sushiswap项目一致,即对任何由智能合约拥有者进行的智能合约操作,均有48小时的延迟。任何来自智能合约拥有者的操作都会被所有投资者观察到,并有48小时进行应对操作。
CertiK安全团队建议
当前DeFi以及相关Farming项目异常火爆,由于区块链项目对于项目代码公开性有要求,因此上线新项目门槛极低。如果盲目借鉴其他项目,任意漏洞都可能被引入到项目中。因此在项目上线之前,应该对项目进行严格的安全审计。
从投资者角度,当前Farming项目动辄百分之几千的回报率,极易促使投资者在没有对项目本身有足够了解的情况下进行盲目投资。例如SushiSwap,Yuno以及Kimchi三个项目均没有经过严谨的安全验证就快速上线。投资者可能会被巨大的利益回报迷惑,将宝贵资金投入到有极大风险的智能合约中。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。