以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > MATIC > Info

首發 | CertiK:DeFi項目Walletreum內部操作攻擊事件分析_INT:區塊鏈工程專業學什么課程好

Author:

Time:1900/1/1 0:00:00

馬克思曾在資本論中引用一句名言:“如果有10%的利潤,它就保證到處被使用;

有20%的利潤,它就活躍起來;

有50%的利潤,它就鋌而走險;

為了100%的利潤,它就敢踐踏一切人間法律;

有300%的利潤,它就敢犯任何罪行,甚至絞首的危險。”

對于區塊鏈來說,去中心化是一切的本質,更是區塊鏈世界和生態的標桿。

無論是什么形式的去中心化,它的本質實際上指的都是權力從頂層中心化機構到基層個體的下沉。

這個下沉趨勢隨著世界的發展不斷的惠及每一個個體。區塊鏈所言的“去中心化”同樣是隨著經濟和科技發展,迎合社會發展本質上的一類。鑄幣權便是其中之一。

首發 | Bithumb將推出與Bithumb Global之間的加密資產轉賬服務:Bithumb內部人士對金色財經透露,Bithumb推出和Bithumb Global之間的加密貨幣資產免手續費快速轉賬服務,每日加密貨幣資產轉賬限額為2枚BTC。此消息將于今日晚間對外公布。據悉,目前僅支持BTC和ETH資產轉賬。[2020/2/26]

這里的鑄幣權指的是將其下放至專業及安全的團隊或個體手中,通過健康的社區治理,達到實現區塊鏈領域愿景的目的。

然而如同早年間的鑄幣行為在傳統金融中屢禁不絕,區塊鏈領域內的惡意鑄幣行為也是無休無止。

一個項目其違背去中心化的本質,通過擁有者的極大權限進行惡意鑄幣,不僅僅損害了項目的良勢發展,更是損害了每一位投資者與項目支持者的切身利益。

首發 | 劉堯:百度區塊鏈推出天鏈平臺賦能鏈上業務:12月20日,由CSDN主辦的“2019中國區塊鏈開發者大會”12月20日在北京舉行。百度智能云區塊鏈產品負責人劉堯以《企業區塊鏈賦能產業創新落地》為主題進行了演講,他指出:2020年將是區塊鏈企業落地的元年,為了支持中國區塊鏈的產業落地,百度將區塊鏈進行平臺化戰略升級,依托百度智能云推出天鏈平臺,就是要賦能360行的鏈上業務創新落地。[2019/12/20]

北京時間11月16日,CertiK安全研究團隊發現DeFi項目Walletreum被項目團隊通過內部操作,惡意鑄造5億個WALT代幣。截止11月16日早5時,惡意鑄造的代幣量已約合近190萬人民幣。

首發 | DVP: Bitstamp交易所存在漏洞 可導致大量KYC等信息被泄露:金色財經訊,近日,DVP收到安全人員提交的全球知名交易所Bitstamp的漏洞,攻擊者可以利用該漏洞查看大量用戶ID、銀行卡等敏感信息,嚴重威脅用戶信息安全。為避免發生KYC泄露的惡性事件,DVP安全團隊在收到該漏洞后,第一時間通知該平臺進行修復,但未收到回應。DVP提醒相關用戶關注個人信息安全,以免造成損失。[2019/8/13]

CertiK安全研究團隊通過分析其智能合約代碼,發現其智能合約代碼中心化風險極高,存在安全隱患,項目擁有者擁有權限向任意地址鑄造任意數目的代幣。

完整技術分析如下:

項目擁有者地址:0xa5e552e3d643cc89f3b1ceccfd6f42c5c1aee775

IMEOS首發 BM表示EOS合約具有整數溢出保護:據金色財經合作媒體IMEOS報道:近日ETH出現多個ERC20智能合約的處理溢出錯誤,BM在推特上發表評論:新的ETH契約Bug可能會破壞整個Token的供應,讓持有者留下無價值Token.這就算為什么代碼不能成為法律,隨即表示EOS erc合約不容易受到這種攻擊。而EOS官方群也有人表示擔憂EOS是否具有整數溢出保護?BM回應:有很多C ++模板類可以封裝類型并檢查溢出。[2018/4/25]

圖一:內部操作攻擊交易信息

圖一是Walletreum項目中WALTToken智能合約被內部操作,鑄造額外5億個WALT代幣的交易信息。

該交易哈希值為0xc0f3b0576f18a714d78b822754489d4201c9e36fb0ce4b2f53a93217564710e5。

CertiK天網系統 (Skynet) 檢測到區塊1126401出現異常交易信息后,立刻向CertiK安全研究團隊發出警示。

CertiK安全研究團隊在對該項目智能合約進行快速分析后,認為該項目為當前一典型的由于智能合約高中心化而導致的攻擊。

圖二:WALTToken智能合約mint()函數

 圖二為遭受內部操作攻擊智能合約中被惡意調用的函數mint()。

從666行的代碼實現中可以看出,任何擁有minter權限、可以通過onlyMinter修飾符限制的外部調用者均可以調用該函數。

該函數的作用是通過667行代碼向任意賬戶(account)鑄造任意數目的代幣(amount)。

通過圖三中619行onlyMinter修飾符的邏輯實現,以及615行構造函數中給與智能合約部署者minter權限的邏輯實現,智能合約部署者擁有了可以執行圖二中mint函數的權限。

圖三:onlyMinter修飾符以及給與項目管理者minter權限的構造函數

圖四:項目擁有者擁有minter權限

查詢項目擁有者是否擁有minter權限的結果如圖四所示。

至此,項目擁有者擁有執行mint函數的權利,最終惡意鑄造了5億個WALT代幣,致使項目投資者遭受損失。

CertiK安全團隊通過研究認為,目前大多數DeFi項目中均存在類似于Walletreum項目的風險。

該類mint函數以及minter權限的實現表明了當前DeFi項目中項目擁有者權限過大,中心化風險較高。

這會導致內部操作等情況的發生完全依賴于項目擁有者個人或者團隊的“個人素質”與選擇。

CertiK團隊此前分析過同樣存在中心化風險的Mercurity.finance項目,而類似此次Walletreum項目被內部操作攻擊的情況以后想必也依舊會發生。

在此,CertiK團隊發出建議:

如要防范此類內部操作,應當注重提高社區治理的程度,并在項目實現上盡可能降低中心化權限,對任意重要操作均需要通過社區投票或者運用Timelock延時限制機制。

Tags:MINMINTINT區塊鏈MINIONS價格MINTME幣NINTI區塊鏈工程專業學什么課程好

MATIC
福布斯獨家:比特幣知名調查機構 Chainalysis 已獲1億美元融資_AIN:Storichain

一個新的比特幣行業獨角獸即將誕生,在圍繞加密貨幣行業流傳數日的傳聞之后,調查公司Chainalysis向《福布斯》獨家證實,它預計最快在下周就將以10億美元的估值籌集1億美元的風險投資.

1900/1/1 0:00:00
以太坊2.0信標鏈啟動 后期是否會爆發?_以太坊:以太坊最新價格行情

6天前(11月19日13時),ETH2.0信標鏈的質押合約中存入的ETH還只占總目標(524288ETH)的19.58%.

1900/1/1 0:00:00
一文了解Filecoin Plus(已驗證客戶數據機制)所有信息_Filecoin:Filcoin Standard Full Hashrate Token

北京時間11月11日星期三凌晨1點,協議實驗室舉行線上會議,會議討論Filecoin plus(已驗證客戶數據機制).

1900/1/1 0:00:00
德意志銀行:從長遠來看 央行數字貨幣將取代現金_BDC:bdc幣最新消息

德國最大的銀行機構德意志銀行相信,央行數字貨幣(CBDC)將在未來取代現金。德意志銀行的研究部門Deutsche Bank Research發布了一份有關經濟評估和提議的新報告,以幫助受冠狀病.

1900/1/1 0:00:00
PlusToken案二審裁定書:依法處理查獲的近42億美元數字貨幣 所得收益上繳國庫(全文)_PLUS:H2O Securities

11月26日,PlusToken傳銷案二審刑事裁定書公布。據裁定書中所述,執法部門從7名罪犯賬戶中查獲194,775枚BTC、833,083枚ETH、140萬枚LTC、2760萬枚EOS、74,

1900/1/1 0:00:00
NFT崛起 四大安全風險需警惕_DEFI:WNFT

從2020年6月開始,DeFi(去中心化金融)的鎖倉價值開始出現前所未有的攀升,以迅雷不及掩耳之勢實現了從十億級到百億美元的突破。如此熱度,不禁讓人聯想2017年的那段行業“猛漲期”的如火如荼.

1900/1/1 0:00:00
ads