BTC/HKD+2.48%
ETH/HKD+3.02%
LTC/HKD+2.13%
DOT/HKD+7.08%
ADA/HKD+12.53%
SOL/HKD+4.24%
XRP/HKD+25.79%
DOGE/US+3.52% 
北京時間8月31日和9月1日,CertiK安全研究團隊發現Sushiswap仿盤的兩個項目YUNoFinance(YUNO)與KIMCHI.finance(KIMCHI),其智能合約均存在漏洞。如果利用該漏洞,智能合約擁有者可以無限制地增發項目對應的代幣數目,導致項目金融進度通脹并最終崩潰。
無限增發漏洞
數據:Lido節點運營商Certus One向Binance存入200萬枚LDO:金色財經報道,Spot On Chain監測顯示,Certus One(Lido Finance節點運營商和投資者))于6.5小時前以2.255美元的價格向Binance存入200萬枚LDO(約451萬美元)。Certus One于2020年從Lido Finance收到了1000萬枚LDO,并一直持有至今。行情數據顯示,LDO過去24小時內價格上漲了26%。[2023/7/14 10:54:53]
以Yuno項目中智能合約為例,CertiK安全研究團隊對于該無限增發漏洞進行了詳細分析,技術細節如下:在Yuno項目中的MasterChef.sol智能合約第1354行中,dev方法可以允許當前擁有devaddr身份的智能合約調用者,將devaddr身份轉移給另外一個地址。
Across Protocol:ACX代幣將在Balancer上建立流動性池:11月28日,據官方推特,跨鏈橋Across Protocol表示,已批準在Balancer上建立ACX初始流動性的提案,將在ACX代幣正式流通后在Balancer上建立初始流動性池。此外,上線流動性池后,用戶還將可以通過添加流動性獲得額外的ACX獎勵,未來還可能會申請Balancer和Aura獎勵。[2022/11/28 21:07:36]
截圖出自:https://etherscan.io/下圖中可以看到在智能合約1282行的mint方法是由修飾器onlyOwner進行限制,修飾器onlyOwner決定了只能是智能合約擁有者來執行這個合約。
Larry Cermak:LFG花費30億美元來捍衛UST錨定但仍以失敗告終:5月16日消息,The Block研究副總裁Larry Cermak在推特上表示,總而言之,LFG的儲備從一周前的31億美元變成現在的約8700萬美元。這意味著他們花了大約30億美元來捍衛UST錨定,但UST還是崩潰了。[2022/5/17 3:20:32]
DFI.Money(YFII)發起關于如何分配Balancer獎勵提案:9月3日,聚合器項目DFI.Money(YFII)收到首批Balancer(BAL)獎勵,共計BAL 679.83個,價值21,814美元。該獎勵來源于YFII/DAI礦池,后續每周都將收到。關于獎勵如何分配,社區發起提案進行投票:放進循環挖礦池;換成yCRV給投票人激勵參與投票;注入社區基金。[2020/9/8]
以上三截圖均出自:https://etherscan.io/擁有devaddr身份的調用者,當其身份恰好同時為owner身份的時候,可以通過調用MasterChef.sol智能合約1282行的mint方法,來無限制的增發代幣。1282行的mint方法會繼續調用1130行的mint方法,并繼續由1130行mint方法調用1044行的_mint方法,并最終完成代幣增發的操作。Kimichi項目智能合約中存在的無限增發漏洞與以上漏洞基本相同,因此在這里不進行重復敘述。如果owner和devaddr的地址如果相同,那么在外部沒有對智能合約擁有者限制的情況下,智能合約擁有者擁有權利增發任意數量的代幣,這將會將投資者置于風險之中。那么Yuno和Kimichi這兩個項目中的devaddr和owner是否為同一人呢?是否有其他外部制約機制可以限制這兩個項目的智能合約擁有者呢?下圖為Yuno項目MasterChef.sol智能合約中擁有devaddr和owner身份的地址。
截圖出自:https://etherscan.io/下圖為Kimichi項目中KimchiChef.sol智能合約中擁有devaddr和owner身份的地址。
截圖出自:https://etherscan.io/從上兩圖中可以看到,Yuno項目中擁有devaddr和owner身份的地址為同一個,因此其智能合約擁有者有權利進行無限制的代幣增發。而Kimichi項目中擁有devaddr和owner身份不同,但由于devaddr的身份可以進行轉移,因此也存在一定的風險。目前措施
為了確保無限增發漏洞不會被觸發,對于Yuno和Kimichi兩個項目的智能合約擁有者必須由外部進行限制。當前已經實施的限制條件與Sushiswap項目一致,即對任何由智能合約擁有者進行的智能合約操作,均有48小時的延遲。任何來自智能合約擁有者的操作都會被所有投資者觀察到,并有48小時進行應對操作。CertiK安全團隊建議
當前DeFi以及相關Farming項目異常火爆,由于區塊鏈項目對于項目代碼公開性有要求,因此上線新項目門檻極低。如果盲目借鑒其他項目,任意漏洞都可能被引入到項目中。因此在項目上線之前,應該對項目進行嚴格的安全審計。從投資者角度,當前Farming項目動輒百分之幾千的回報率,極易促使投資者在沒有對項目本身有足夠了解的情況下進行盲目投資。例如SushiSwap,Yuno以及Kimchi三個項目均沒有經過嚴謹的安全驗證就快速上線。投資者可能會被巨大的利益回報迷惑,將寶貴資金投入到有極大風險的智能合約中。
Tags:CERANCNCEDEVCoinlancerAmpleforth Governance TokenSolyard FinanceDEVO
編者按:本文來自Cointelegraph中文,作者:MichaelKapilkov,Odaily星球日報經授權轉載.
1900/1/1 0:00:00編者按:本文來自蜂巢財經News,作者:凱爾,Odaily星球日報經授權轉載。被投資者稱為「壽司」的SushiSwap莫名傳遍了炒幣群,緊接著,在HBO三大所上快速出現,上線不到一周,鎖倉13億.
1900/1/1 0:00:00經歷數次跳票之后,8月25日早6點,獎勵高達410萬FIL的Filecoin激勵測試網終于啟動了。各大礦商礦工群也再度活躍,各礦商紛紛通過錄視頻、發快訊的方式表達“塵埃落定”的喜悅.
1900/1/1 0:00:008月28日,「2020新區勢·區塊鏈科技金融峰會」在北京舉辦。本屆峰會由火幣集團、36kr、Odaily星球日報共同主辦,幣核科技&霍比特HBTC金牌贊助,鏈上ChainUP戰略贊助,貝.
1900/1/1 0:00:00編者按:本文來自Cointelegraph中文,作者:JOSEPHYOUNG,Odaily星球日報經授權轉載.
1900/1/1 0:00:00編者按:本文來自Findora社區投稿,Odaily星球日報經授權、編輯后發布。 目前提到區塊鏈金融,其實很多人想到的應該是Defi.
1900/1/1 0:00:00
以太坊交易所
