以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

CertiK:Based智能合約出現漏洞,重新部署其一號池事件分析_BASE:CER

Author:

Time:1900/1/1 0:00:00

“亡羊補牢,為時未晚”,這句話在生活中的大部分時候均適用。然而,在面臨網絡安全時,牢破也許就會造成無法挽回的損失。在安全問題未造成不可彌補的損失前就被發現,或是一開始便做好萬全準備,才是身為區塊鏈從業者的安全第一要義。北京時間8月14日下午,CertiK安全技術團隊發現DeFi匿名耕種項目Based官方宣布有攻擊者通過調用Based智能合約中的某一個函數,將一號池凍結,同時宣布將重新部署其一號池。官方發布推特稱,有黑客試圖將“Pool1”永久凍結,但嘗試失敗。而“Pool1”將繼續按計劃進行。CertiK通過分析該智能合約,認為這次凍結Based項目一號池事件,是一次由于存在智能合約漏洞導致的事故。

CertiK:Layer Zero Labs的仿冒網站發布釣魚鏈接:金色財經消息,據CertiK監測,Layer Zero Labs的仿冒網站發布釣魚鏈接,請勿與以下鏈接交互(見圖),該網站將鏈接到釣魚合約和錢包。[2023/6/11 21:30:15]

事件經過

Based團隊部署一號池智能合約,部署地址為0x77caF750cC58C148D47fD52DdDe43575AA179d1f。Based官方通過調用智能合約中的renounceOwnership函數來聲明智能合約所有者,但未進行智能合約初始化。由于在Based智能合約中initialize函數被錯誤的設置為可以被外部調用,因此造成在初始化智能合約過程中,一號池的智能合約被外部攻擊者用錯誤的值初始化。錯誤的初始化造成Based官方無法再次初始化一號池的智能合約,因此造成一號池被凍結,任何質押行為都無法完成。Based官方決定放棄該智能合約,重新部署一號池智能合約。智能合約技術細節

CertiK:Pika Protocol項目Discord服務器已被入侵:金色財經報道,據CertiK監測,Pika Protocol項目Discord服務器已被入侵,有黑客發布釣魚鏈接。在團隊確認已重獲對服務器的控制之前,請勿點擊任何鏈接。[2023/5/31 11:50:17]

1.Based團隊在部署智能合約后,沒有及時的調用下圖的initialize函數來初始化智能合約的設置:

去中心化數據庫協議Ceramic添加對Solana的支持:金色財經報道,據官方推特消息,去中心化數據庫協議Ceramic宣布添加了對Solana的支持。在Solana上構建的開發人員現在可以將Ceramic的主權數據網絡用于跨鏈身份和動態數據。[2021/12/10 7:29:12]

2.外部調用者利用Based團隊在部署和初始化智能合約之間的時間差,乘機調用了下圖中671行被錯誤設置調用范圍的initialize函數,搶先初始化了一號池的智能合約:

Larry Cermak:不在相信幣安,幣安根據其定義擁堵的新規則任意暫停ETH/ERC20取款:TheBlock研究總監LarryCermak在推特中轉發幣安暫停ETH沖提的推文,Larry Cermak稱,我一直在等待合適的推動力,但最后還是把我在Binance上的大部分資金撤到了FTX。在這一點上,不能再相信這家公司了,他們在用這些垃圾在自己的腳下瘋狂射擊。幣安根據其定義擁堵的新規則任意暫停ETH / ERC20取款。早晨,gas費大約是130,現在是190。絕對是胡扯。[2021/2/20 17:32:41]

3.上圖兩個initialize函數都是由initializer的修飾符修飾。根據其中代碼,如果調用了其中一個initialize函數,另外一個initialize函數就無法被調用。initializer修飾符代碼如下圖所示,這造成了Based官方失去了初始化函數的機會:

4.綜上因素,Based智能合約無法被官方正確初始化,因此任何質押行為都無法進行。質押失敗的交易記錄:

如何避免事件發生

該次事件本質上是由智能合約漏洞導致的,但如果Based團隊提早注意到這個漏洞,提前初始化智能合約,可以完全規避這次危險,避免一號池被凍結。因此,CertiK安全技術團隊提出如下建議:部署智能合約時應準備好初始化智能合約所需要的命令腳本等工具,及時初始化智能合約,避免攻擊者利用部署操作和初始化操作之間的時間差搶先初始化或者操縱智能合約。了解智能合約的運行原理和技術細節,不要盲目的采用其他的智能合約代碼。邀請專業的安全團隊對其智能合約進行審計,保證智能合約的安全性和可靠性。我們絕不僅僅是尋找漏洞,而是要消除哪怕只有0.00000000001%被攻擊的可能性。

Tags:BASEBASEDBASCERcoinbase的特點是2Based FinanceMCBASECERE幣

火必交易所
已向SEC提交申請,灰度以太坊信托是否能成數字貨幣投資工具?_WEB:WEB價格

編者按:本文來自金色財經,Odaily星球日報經授權轉載。全球最大的數字貨幣資產管理商灰度投資宣布旗下以太坊信托向美國證券交易委員會公開提交了Form10注冊申請,擬申請注冊為獲得申報公司地位的.

1900/1/1 0:00:00
識別偽風口:強勢能科技與弱勢能科技_ETH:blur幣發行量

原地址:https://cdixon.org/作者:cdixon翻譯:PhalaTeam閱讀時間:3分鐘2007年的一個媒體見面會上,一個記者對喬布斯展示的蘋果最新款觸屏手機嗤之以鼻.

1900/1/1 0:00:00
谷燕西:數字資產交易所還是數字資產交易市場?_比特幣:數字資產管理

現在全球的一些地區在建立數字資產交易所。這些交易所選擇的交易產品是不一樣的。譬如德國斯圖加特的交易所,它選擇交易加密數字貨幣;瑞士數字資產交易所選擇交易新型的交易產品;在美國正在申請成立的波士頓.

1900/1/1 0:00:00
150家加密企業,35億身家,Barry Silbert如何搭建數字貨幣帝國?_BERT:BER

8月15日,灰度投資公司宣布其電視廣告視頻投放之后,創下了有史以來籌款表現最好的單周記錄,共獲得了2.17億美元的投資.

1900/1/1 0:00:00
YFI的治理模型能解決資金安全嗎?_ANC:Coinlancer

編者按:本文來自加密谷Live,作者:DeribitMarketResearch,翻譯:Edward,Odaily星球日報經授權轉載。DeFi如何努力平衡治理與存款安全.

1900/1/1 0:00:00
一文了解BCH募資工具Flipstarter(狐貍啟動)_BCH:Filecash

編者按:本文來自閃電HSL,Odaily星球日報經授權轉載。BCH通過腳本可以構建一些非常有意思的應用,今天分享一種名叫Flipstarter的募資工具.

1900/1/1 0:00:00
ads