買比特幣 買比特幣
Ctrl+D 買比特幣
ads

MINT:CertiK:DeFi項目Walletreum內部操作攻擊事件分析_Interest Protocol

Author:

Time:1900/1/1 0:00:00

馬克思曾在資本論中引用一句名言:“如果有10%的利潤,它就保證到處被使用;有20%的利潤,它就活躍起來;有50%的利潤,它就鋌而走險;為了100%的利潤,它就敢踐踏一切人間法律;有300%的利潤,它就敢犯任何罪行,甚至絞首的危險。”對于區塊鏈來說,去中心化是一切的本質,更是區塊鏈世界和生態的標桿。無論是什么形式的去中心化,它的本質實際上指的都是權力從頂層中心化機構到基層個體的下沉。這個下沉趨勢隨著世界的發展不斷的惠及每一個個體。區塊鏈所言的“去中心化”同樣是隨著經濟和科技發展,迎合社會發展本質上的一類。鑄幣權便是其中之一。這里的鑄幣權指的是將其下放至專業及安全的團隊或個體手中,通過健康的社區治理,達到實現區塊鏈領域愿景的目的。然而如同早年間的鑄幣行為在傳統金融中屢禁不絕,區塊鏈領域內的惡意鑄幣行為也是無休無止。一個項目其違背去中心化的本質,通過擁有者的極大權限進行惡意鑄幣,不僅僅損害了項目的良勢發展,更是損害了每一位投資者與項目支持者的切身利益。

Spencer Schiff:人工智能的發展導致比特幣未來幾年可能跌至接近零:金色財經報道,黃金支持者彼得·希夫(Peter Schiff)的兒子Spencer Schiff表示,比特幣不會對世界產生重大影響,未來幾年其價格可能會跌至接近零。Spencer Schiff多年來一直認為比特幣是一種出色的長期投資和通脹對沖工具,而他的父親是比特幣的批評者。

Schiff解釋稱:我觀點的轉變與熊市無關。去年年底比特幣觸底那天,我仍然非常看好比特幣。我甚至說服母親抄底,我不再關心比特幣的唯一原因是人工智能。如果沒有人工智能,我仍然認為比特幣的價格將達到每枚數千萬美元”。[2023/7/20 11:05:41]

日本營銷公司Ceres投資Pantera Capital加密基金:日本營銷公司Ceres宣布將向Pantera Capital提供一筆資金,以支付給該公司的第三只加密貨幣基金。 (cointelegraph)[2020/3/5]

北京時間11月16日,CertiK安全研究團隊發現DeFi項目Walletreum被項目團隊通過內部操作,惡意鑄造5億個WALT代幣。截止11月16日早5時,惡意鑄造的代幣量已約合近190萬人民幣。CertiK安全研究團隊通過分析其智能合約代碼,發現其智能合約代碼中心化風險極高,存在安全隱患,項目擁有者擁有權限向任意地址鑄造任意數目的代幣。完整技術分析如下:攻擊詳情分析

動態 | 交易所Liquid與區塊鏈安全公司CertiK達成合作:加密貨幣交易所Liquid今天宣布區塊鏈安全公司CertiK達成合作,CertiK將為在該交易所尋求上幣和IEO的團隊提供智能合約審計平臺。(CryptoNinjas)[2020/1/23]

項目擁有者地址:0xa5e552e3d643cc89f3b1ceccfd6f42c5c1aee775

圖一:內部操作攻擊交易信息圖一是Walletreum項目中WALTToken智能合約被內部操作,鑄造額外5億個WALT代幣的交易信息。該交易哈希值為0xc0f3b0576f18a714d78b822754489d4201c9e36fb0ce4b2f53a93217564710e5。CertiK天網系統(Skynet)檢測到區塊1126401出現異常交易信息后,立刻向CertiK安全研究團隊發出警示。CertiK安全研究團隊在對該項目智能合約進行快速分析后,認為該項目為當前一典型的由于智能合約高中心化而導致的攻擊。

韓國2018DreamConcert演唱會可用基于區塊鏈的Star Pay預購門票:韓國一年一度的DreamConcert演唱會將在1個月后舉辦。今年的演唱會門票需要通過基于區塊鏈支付的StarPay來購買門票。粉絲們使用StarPay不僅可以購買門票,還可以購買MD商品。[2018/4/13]

圖二:WALTToken智能合約mint()函數圖二為遭受內部操作攻擊智能合約中被惡意調用的函數mint()。從666行的代碼實現中可以看出,任何擁有minter權限、可以通過onlyMinter修飾符限制的外部調用者均可以調用該函數。該函數的作用是通過667行代碼向任意賬戶鑄造任意數目的代幣。通過圖三中619行onlyMinter修飾符的邏輯實現,以及615行構造函數中給與智能合約部署者minter權限的邏輯實現,智能合約部署者擁有了可以執行圖二中mint函數的權限。

圖三:onlyMinter修飾符以及給與項目管理者minter權限的構造函數

圖四:項目擁有者擁有minter權限查詢項目擁有者是否擁有minter權限的結果如圖四所示。至此,項目擁有者擁有執行mint函數的權利,最終惡意鑄造了5億個WALT代幣,致使項目投資者遭受損失。安全建議

CertiK安全團隊通過研究認為,目前大多數DeFi項目中均存在類似于Walletreum項目的風險。該類mint函數以及minter權限的實現表明了當前DeFi項目中項目擁有者權限過大,中心化風險較高。這會導致內部操作等情況的發生完全依賴于項目擁有者個人或者團隊的“個人素質”與選擇。CertiK團隊此前分析過同樣存在中心化風險的Mercurity.finance項目,而類似此次Walletreum項目被內部操作攻擊的情況以后想必也依舊會發生。在此,CertiK團隊發出建議:如要防范此類內部操作,應當注重提高社區治理的程度,并在項目實現上盡可能降低中心化權限,對任意重要操作均需要通過社區投票或者運用Timelock延時限制機制。

Tags:CERINTMINTMINSoccerInuInterest ProtocolMINTYSMicromines

狗狗幣最新價格
okex:OKEx真金白銀“大放血”,一場“事故”引發的全員狂歡_PKEX幣

這份“落跑用戶”的回歸補償,會在“公告當日至開放提幣7日內法幣及鏈上轉賬凈入金*用戶實際虧損比例”以及“暫停提幣期間用戶法幣總虧損”兩個數值中取最小值.

1900/1/1 0:00:00
比特幣價格:谷歌趨勢:隨著比特幣飆升至1.94萬美元,“Bitcoin”搜索量達到今年最高水平_Philcoin

編者按:本文來自Cointelegraph中文,作者:RAYSALMOND,Odaily星球日報經授權轉載。比特幣的價格延續漲勢,在今天早些時候飆升至19412美元,創下今年新高.

1900/1/1 0:00:00
ETH2.0:共識分歧,ETH 2.0社區的聲音,持幣人「聽不見」_ETHplode

面對即將開啟的ETH2.0,資本、機構、礦工、散戶、巨鯨、創始團隊似乎都有著各自的立場和角度,分歧或許正在加劇.

1900/1/1 0:00:00
BTC:行情分析:聽聞比特幣不夠機構買了,這是好事嗎?_ETH

行業要聞 1、南非金融監管機構提案將加密貨幣資產視為金融產品2、PayPal和Square日均比特幣購買量超比特幣產出量3、英偉達:面向加密礦工的GPU銷售額達1.75億美元.

1900/1/1 0:00:00
區塊鏈:Web3.0技術與生態發展研究報告_區塊鏈怎么入手

編者按:本文來自WebX實驗室Daily,Odaily星球日報經授權轉載。AI、5G、大數據、區塊鏈......,我們很清楚自己正處在一場全新的技術革命中,但這里始終缺乏一個標的,表明爆發和迭代.

1900/1/1 0:00:00
區塊鏈:建行取消區塊鏈債券發行,背后有什么隱情?_比特幣美元換算

媒體界一般有個傳統,新聞越大,字越少。比如上周的大消息“建行發30億美元區塊鏈債券,允許比特幣購買” 短短19個字像一劑興奮劑扎進了幣圈,群友們順著字面意思做起了閱讀理解:“比特幣終于合規了?建.

1900/1/1 0:00:00
ads