CertiK安全分析:SushiSwap仿盘 YUNO与KIMCHI智能合约漏洞或存安全隐患_CER:ceres币能发财吗

北京时间8月31日和9月1日,CertiK安全研究团队发现Sushiswap仿盘的两个项目YUNoFinance(YUNO)与KIMCHI.finance(KIMCHI),其智能合约均存在漏洞。如果利用该漏洞,智能合约拥有者可以无限制地增发项目对应的代币数目,导致项目金融进度通胀并最终崩溃。

无限增发漏洞

以Yuno项目中智能合约为例,CertiK安全研究团队对于该无限增发漏洞进行了详细分析,技术细节如下:

在Yuno项目中的MasterChef.sol智能合约第1354行中,dev方法可以允许当前拥有devaddr身份的智能合约调用者,将devaddr身份转移给另外一个地址。

Quadrant与Polygon合作推出游戏化兴趣点数据收集平台Geolancer:移动定位和数据情报公司Quadrant已经与Polygon合作推出Geolancer,这是一个游戏化的兴趣点(POI)数据收集平台,允许用户利用专用的智能手机应用程序绘制兴趣点(如便利店、餐馆、商店和他们附近的其他地方),以此获得Quadrant的原生代币eQUAD。(Crypto Daily)[2021/4/24 20:54:11]

截图出自:

https://etherscan.io/address/0x450f143f1a8650fff968d890814bd5884bdc8f1d#code

CertiK:确定NoaSwap为项目SheepSwap同一团队运作,请用户保持警惕:4月11日,安全公司CertiK发推表示,已确认NoaSwap由SheepSwap的同一团队运作,CertiK提醒用户保持谨慎,警惕风险。[2021/4/11 20:07:35]

下图中可以看到在智能合约1282行的mint方法是由修饰器onlyOwner进行限制,修饰器onlyOwner决定了只能是智能合约拥有者来执行这个合约。

以上三截图均出自:https://etherscan.io/address/0x450f143f1a8650fff968d890814bd5884bdc8f1d#code

Balancer批准三项流动性挖矿相关提案:上周末,Balancer对其新的治理提案进行了第一轮投票,三份提案都得到了利益相关者的批准。据悉,自动流动性和资产管理协议每周为向Balancer平台提供流动性的人分配145000 BAL。代币分配与每个地址的流动性贡献对应。为了得出一个管理分配的公式,Balancer上周发布了其最小治理工具,并就这一计算结果提出了三项提案。

第一个提案被称为“balFactor”,鼓励持有者使用他们的BAL代币来获得流动性,而不仅仅是兑现;第二项提案是通过降低对高收费池的挖矿处罚来修改“feeFactor”;第三项提案是将“wrapFactor”定为0.7,来应用于每对软锚定代币的流动性,以吸引更多有用的流动性加入协议。(BeInCrypto)[2020/7/20]

拥有devaddr身份的调用者,当其身份恰好同时为owner身份的时候,可以通过调用MasterChef.sol智能合约1282行的mint方法,来无限制的增发代币。1282行的mint方法会继续调用1130行的mint方法,并继续由1130行mint方法调用1044行的_mint方法,并最终完成代币增发的操作。

非托管投资组合经理Balancer Labs筹集300万美元:金色财经报道,非托管投资组合经理Balancer Labs在由Accomplice和Placeholder领导的种子轮融资中筹集了300万美元。Balancer成立于2018年,最初是分析公司BlockScience旗下的一个项目。据悉,Balancer本质上是Uniswap自动做市商(AMM)模型的通用实现,并且该概念引起了开放金融生态系统参与者的广泛兴趣。[2020/3/25]

Kimichi项目智能合约中存在的无限增发漏洞与以上漏洞基本相同,因此在这里不进行重复叙述。

如果owner和devaddr的地址如果相同,那么在外部没有对智能合约拥有者限制的情况下,智能合约拥有者拥有权利增发任意数量的代币,这将会将投资者置于风险之中。那么Yuno和Kimichi这两个项目中的devaddr和owner是否为同一人呢?是否有其他外部制约机制可以限制这两个项目的智能合约拥有者呢?

下图为Yuno项目MasterChef.sol智能合约中拥有devaddr和owner身份的地址。

截图出自:https://etherscan.io/address/0x9dd5b5c71842a4fd51533532e5470298bfa398fd#readContract

下图为Kimichi项目中KimchiChef.sol智能合约中拥有devaddr和owner身份的地址。

截图出自:https://etherscan.io/address/0x9dd5b5c71842a4fd51533532e5470298bfa398fd#readContract

从上两图中可以看到,Yuno项目中拥有devaddr和owner身份的地址为同一个,因此其智能合约拥有者有权利进行无限制的代币增发。而Kimichi项目中拥有devaddr和owner身份不同,但由于devaddr的身份可以进行转移,因此也存在一定的风险。

目前措施

为了确保无限增发漏洞不会被触发,对于Yuno和Kimichi两个项目的智能合约拥有者必须由外部进行限制。当前已经实施的限制条件与Sushiswap项目一致,即对任何由智能合约拥有者进行的智能合约操作,均有48小时的延迟。任何来自智能合约拥有者的操作都会被所有投资者观察到,并有48小时进行应对操作。

CertiK安全团队建议

当前DeFi以及相关Farming项目异常火爆,由于区块链项目对于项目代码公开性有要求,因此上线新项目门槛极低。如果盲目借鉴其他项目,任意漏洞都可能被引入到项目中。因此在项目上线之前,应该对项目进行严格的安全审计。

从投资者角度,当前Farming项目动辄百分之几千的回报率,极易促使投资者在没有对项目本身有足够了解的情况下进行盲目投资。例如SushiSwap,Yuno以及Kimchi三个项目均没有经过严谨的安全验证就快速上线。投资者可能会被巨大的利益回报迷惑,将宝贵资金投入到有极大风险的智能合约中。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

水星链

PolygonLOEx进取区9月13日13:43上线HPC

尊敬的LOEx用户:LOEx进取区上线HPC!并开放HPC/USDT交易对具体时间如下:充提币:9月13日11:00交易对:9月13日13:43注:未到充值开放时间请勿提前充值.

[0:31ms0-0:533ms