假如川普可以虚假计票:Mercurity.finance智能合约安全漏洞分析_ISS:SwissBorg

今年美国大选虽说有了广泛意义上的尘埃落定,但竞选结果并未明确。如今拜登团队宣布胜选,美国媒体纷纷宣布拜登当选下届美国总统。而另一方面,川普拒绝接受败选结果,他持续进行计票,并宣称要采取法律行动。造成如今这个混乱结果的首要原因在于美国没有设立独立的对大选事务具有权力的权威性的选举委员会,在默认情况下,是新闻机构承担了这个角色。假如川普获得过大的权力,控制了大多新闻机构,营造虚假选票,结果尚未可知。这就意味着某种程度上,可以说是极尽中心化的“推特治国”后的又一“媒体选举”。从选举,到互联网,到区块链,2020年,中心化不再是权威的体现,而是“独断”、“专权”的代名词。北京时间11月9日,CertiK安全研究团队发现DeFi项目Mercurity.finance智能合约代码部分存在中心化风险。项目拥有者拥有过大权限,可以进行任意数目的铸币,并为给定账户提供任意数目的奖励。技术步骤分析如下:ERC20Token.sol代码地址:https://github.com/MER-DAO/MEE-core/blob/main/contracts/tokens/ERC20Token.sol部署地址:https://etherscan.io/address/0xe1b583dc66e0a24fd9af2dc665f6f5e48978e106#code

0xScope:PSYOP创建者持有代币总供应量的93.45%,请注意风险:5月22日消息,Web3知识图谱协议0xScope发推文称,由加密KOL ben.eth推出的新Meme币项目PSYOP的代币分配极度中心化,该代币的供应量的93.45%由Ben持有,5%属于流动资金池。这意味着Ben收到了 650万美元,并向捐助者发送了他新代币的1%。请投资者注意风险。据悉,而在PSYOP启动前,ben.eth曾在5月5日启动过另一个Meme币BEN,在Bitboy推销BEN使其价格上升后,他在该代币推出不到72小时后便将其交给了Bitboy,尽管Ben曾承诺BEN是他一生的项目。[2023/5/22 15:18:37]

比特币矿机制造商MicroBT发布三款新矿机:金色财经报道,比特币矿机制造商MicroBT今天在迈阿密举行的Bitcoin2023会议上发布了三款新矿机。WhatsMiner M53S++为其中一款,它可以提供320 terahash每秒(TH/s)的计算能力,每terahash(J/T)效率为22焦耳。公司创始人兼首席执行官Zuoxing Yang表示,它比竞争对手比特大陆的同类产品Antminer S19 XP Hydro更强大,后者可提供高达257 TH/s的计算能力,但效率不如比特大陆的型号,后者可在20.8 J/T下运行。

另外两个型号是M50S++,设计用于空气冷却,计算能力为150 TH/s,以及M56S++,设计用于浸入式冷却,可提供高达230 TH/s。这两台机器的效率都是22J/TH。面对能源危机和全球变暖,Yang认为,比特币开采的电源需要升级,找到更好的解决方案,如绿色能源。[2023/5/19 15:12:30]

图一:ERC20Token智能合约构造函数

派盾:BitKeep钱包目前被盗资金价值达800万美元 ?:12月26日消息,据派盾预警监测,截止目前,BitKeep钱包被盗资金价值达800万美元,包括约4,373枚BNB 、540万枚USDT 、19.6万枚DAI和1,233.21枚ETH。

此前消息,BitKeep团队表示本次攻击是一起恶劣的群体盗窃事件,部分用户使用的BitKeep APK包下载被黑客劫持。BitKeep呼吁用户向BNB Chain官方寻求帮助,并呼吁7.2.9 APK版本的用户尽快转移资金。[2022/12/26 22:08:43]

图二:onlyIssuer修饰词

Hoo Smart Chain将为Terra链开发者和用户提供“生态移民计划”:据官方消息,Hoo Smart Chain 向Terra链开发者和用户提供“生态移民计划”。将为开发者提供可持续Grant,协助项目在Hoo Smart Chain重新部署开发。

此外,为维护项目生态完整,Hoo Smart Chain决定于近期协助对项目方Token进行映射快照。届时所有Terra 链用户均可通过ES Bridge将Terra链地址与Hoo Smart Chain 地址绑定,Terra地址内的项目方Token将自动映射到绑定的 Hoo Smart Chain地址中。[2022/5/16 3:19:18]

图三:具有铸币方法的issue函数如图一所示,项目拥有者在ERC20Token.sol智能合约中的构造函数可以将自身设置为issuer身份。由于在智能合约部署时,其构造函数会被自动执行,因此项目拥有者会自动成为issuer。通过图二中显示的onlyIssuer修饰词的限制,任意拥有issuer身份的外部调用者将可以执行任意被onlyIssuer修饰词修饰的函数。因此,拥有issuer身份的项目拥有者可以执行图三中具有铸币方法的issue函数,从而可以为任意账户铸造任意数目的代币。除此之外,该项目还存在一个允许项目拥有者提供代币奖励的后门。该后门存在与AwardContract.sol智能合约中。AwardContract.sol代码地址:https://github.com/MER-DAO/MEE-core/blob/main/contracts/AwardContract.sol部署地址:https://etherscan.io/address/0x8Ea43ce113456f45defd0E27e809d719b9CA2362#code

图四:AwardContract智能合约构造函数

图五:onlyGovernor修饰词

图六:addFreeAward智能合约函数当AwardContract.sol被项目拥有者部署到区块链上时,AwardContract合约的构造函数会被自动执行,也就意味着图四中43行代码被自动执行后,项目拥有者会自动被赋予governor身份。拥有governor身份的外部调用者可以类似的执行任意被onlyGovernor修饰词修饰的智能合约函数,例如图六中所示addFreeAward函数。由于所有外部调用者都可以通过调用图七中withdraw函数来将属于自己的奖励取出,因此当governor身份的外部调用者为某一个账户添加了某一数量的奖励后,A账户可以对该函数进行调用,并通过246行的判断条件检查后,通过在281行调用safeIssue()函数来取出被添加的奖励。

图七:withdraw智能合约函数综上分析,Mercurity.finance项目中智能合约存在的后门漏洞均来自于项目拥有者权限过大。在该类中心化治理机制中,项目拥有者得到了可以随时获利或者摧毁项目经济系统的权利。CertiK安全研究团队建议Mercurity.finance更新项目中采用的治理系统,引入社区管理的机制。CertiK在此提醒广大用户:1.合约代码需要经过严格的安全验证和审计才可被允许公布。2.投资者在投资采用中心化治理机制的项目时需衡量风险,谨慎投资

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

水星链

[0:0ms0-0:843ms