首發 | Sushiswap智能合約安全漏洞事件分析_ATOR:HISWAP

北京時間8月28日，CertiK安全研究團隊發現sushiswap項目智能合約中存在多個安全漏洞，該漏洞可能被智能合約擁有者利用，允許擁有者進行包括將智能合約賬戶內的代幣在沒有授權的情況下取空等操作在內的任意操作。同時該項目智能合約還存在嚴重的重入攻擊漏洞，會導致潛在攻擊者的惡意代碼被執行多次。

技術步驟：

百度Apollo首發 “Apollo 001”系列紀念數字藏品:金色財經報道，據百度Apollo智能駕駛官方公眾號，百度Apollo全網首發首款 “Apollo 001”系列紀念數字藏品，以百度汽車機器人為主體形象，每款對應一個百度Apollo自動駕駛重要里程碑事件。據悉，該數字藏品將于2022年7月8日 09:55發布汽車機器人家族全家福空投款。[2022/7/7 1:58:19]

MasterChief.sol:131 https://github.com/sushiswap/sushiswap/blob/master/contracts/MasterChef.sol

首發 | 歐科云鏈推出“天眼方案”推動鏈上安全系統再升級:8月28日，區塊鏈產業集團歐科云鏈宣布推出區塊鏈“天眼方案”，主要通過鏈上數據追蹤系統研發、對外技術支持、凝聚企業眾力等途徑，全面助力區塊鏈安全提升和產業平穩健康發展。

據了解，在“天眼方案”下，歐科云鏈集團將打造鏈上數據追蹤系統，通過溯源數字資產、監控非法交易等手段，全力遏制洗錢等非法行為；協助執法機關辦案，并為打造法務等區塊鏈系統提供技術支持；為聯盟鏈和基于各類業務的鏈上數據提供區塊鏈+大數據的解決方案。[2020/8/28]

在sushiswap項目智能合約的MasterChief.sol智能合約的131行中，智能合約的擁有者可以有權限來設定上圖中migrator變量的值，該值的設定可以決定由哪一個migrator合約的代碼來進行后面的操作。

首發 | DVP: Bitstamp交易所存在漏洞 可導致大量KYC等信息被泄露:金色財經訊，近日，DVP收到安全人員提交的全球知名交易所Bitstamp的漏洞，攻擊者可以利用該漏洞查看大量用戶ID、銀行卡等敏感信息，嚴重威脅用戶信息安全。為避免發生KYC泄露的惡性事件，DVP安全團隊在收到該漏洞后，第一時間通知該平臺進行修復，但未收到回應。DVP提醒相關用戶關注個人信息安全，以免造成損失。[2019/8/13]

MasterChief.sol:136 https://github.com/sushiswap/sushiswap/blob/master/contracts/MasterChef.sol

當migrator的值被確定之后，上圖中142行的代碼，migrator.migrate(lpToken)也就被隨之確定，由migrate的方法是通過IMigratorChef的接口來進行調用的，因此在調用的時候，migrate的方法中的邏輯代碼會根據migrator值的不同而變化。

簡而言之，如果智能合約擁有者將migrator的值指向一個包含惡意migrate方法代碼的智能合約，那么該擁有者可以進行任何其想進行的惡意操作，甚至可能取空所有的賬戶內的代幣。

同時，在上圖142行中執行結束migrator.migrate(lpToken)這一行代碼后，智能合約擁有者也可以利用重入攻擊漏洞，再次重新執行從136行開始的migrate方法或者其他智能合約方法，進行惡意操作。 

當前sushiswap項目創建者表示已經將該項目加入了時間鎖定（timelock）合約的顯示，即任意sushiswap項目智能合約擁有者的操作會有48小時的延遲鎖定。

該漏洞的啟示：

智能合約擁有者不應該擁有無限的權利，必須通過社區監管(governance)來限制智能合約擁有者并確保其不會利用自身優勢進行惡意操作；

智能合約代碼需要經過嚴格的安全驗證和檢查之后，才能夠被允許公布。

Tags：RATATOATORHISWAPpirate-chainATOMBEAR價格cindicator幣最新消息Minimal Initial SushiSwap Offering

火幣網下載官方app