ONT:假如川普可以虛假計票：Mercurity.finance智能合約安全漏洞分析_0x0.ai: AI Smart Contract

今年美國大選雖說有了廣泛意義上的塵埃落定，但競選結果并未明確。如今拜登團隊宣布勝選，美國媒體紛紛宣布拜登當選下屆美國總統。而另一方面，川普拒絕接受敗選結果，他持續進行計票，并宣稱要采取法律行動。造成如今這個混亂結果的首要原因在于美國沒有設立獨立的對大選事務具有權力的權威性的選舉委員會，在默認情況下，是新聞機構承擔了這個角色。假如川普獲得過大的權力，控制了大多新聞機構，營造虛假選票，結果尚未可知。這就意味著某種程度上，可以說是極盡中心化的“推特治國”后的又一“媒體選舉”。從選舉，到互聯網，到區塊鏈，2020年，中心化不再是權威的體現，而是“獨斷”、“專權”的代名詞。北京時間11月9日，CertiK安全研究團隊發現DeFi項目Mercurity.finance智能合約代碼部分存在中心化風險。項目擁有者擁有過大權限，可以進行任意數目的鑄幣，并為給定賬戶提供任意數目的獎勵。技術步驟分析如下：ERC20Token.sol代碼地址：https://github.com/MER-DAO/MEE-core/blob/main/contracts/tokens/ERC20Token.sol部署地址：https://etherscan.io/address/0xe1b583dc66e0a24fd9af2dc665f6f5e48978e106#code

Adam Cochran：Coinbase已經非常清楚地表明Base的意圖是完全去中心化:金色財經報道，Cinneamhain Ventures合伙人Adam Cochran在社交媒體上稱，對COIN的良好展望。我不同意他們的代幣策略，A) 我認為一旦OP層有分散的排序器/程序，去中心化網絡的代幣在美國是合法可行的。B) 我認為代幣在某種程度上是必要的。Coinbase 已經非常清楚地表明 Base 的意圖是完全去中心化。這意味著在某個時候，我們可以期望任何人都能夠根據特定的配置方法運行驗證器/定序器/證明器。在 roll-up sequencer 中賺取 sequencer 費用（你支付給網絡的 gas 費用）所以有一個明確的經濟福利可以分割。然后，您還需要一種方法來對不良參與者節點施加懲罰（例如削減），從而使攻擊網絡的成本太高。[2023/5/6 14:46:10]

俄羅斯最大的銀行聯邦儲蓄銀行計劃推出DeFi平臺:2月4日消息，俄羅斯最大的銀行聯邦儲蓄銀行（Sberbank）計劃在未來幾個月內推出去中心化金融（DeFi）平臺。Sberbank表示，目前正在對平臺進行測試。（國際文傳電訊社）[2023/2/4 11:47:34]

圖一：ERC20Token智能合約構造函數

圖二：onlyIssuer修飾詞

三箭資本清算人尋求以3000萬美元價格出售Su Zhu的游艇“Much Wow”:12月3日消息，加密對沖基金三箭資本 (3AC) 清算人表示，目前該基金在新加坡銀行持有的3560萬美元現金已經被沒收，同時還設法從代幣銷售中追回數百萬美元和數量不詳的60種不同的加密代幣和 NFT，并且希望法院批準可以3000萬美元價格出售Su Zhu的游艇“Much Wow”。據此前Terra研究員FatMan披露，Su Zhu擁有的這艘游艇價值5000萬美元，但三箭一直無法支付首付之外的費用。（彭博社）[2022/12/3 21:20:26]

圖三:具有鑄幣方法的issue函數如圖一所示，項目擁有者在ERC20Token.sol智能合約中的構造函數可以將自身設置為issuer身份。由于在智能合約部署時，其構造函數會被自動執行，因此項目擁有者會自動成為issuer。通過圖二中顯示的onlyIssuer修飾詞的限制，任意擁有issuer身份的外部調用者將可以執行任意被onlyIssuer修飾詞修飾的函數。因此，擁有issuer身份的項目擁有者可以執行圖三中具有鑄幣方法的issue函數，從而可以為任意賬戶鑄造任意數目的代幣。除此之外，該項目還存在一個允許項目擁有者提供代幣獎勵的后門。該后門存在與AwardContract.sol智能合約中。AwardContract.sol代碼地址：https://github.com/MER-DAO/MEE-core/blob/main/contracts/AwardContract.sol部署地址：https://etherscan.io/address/0x8Ea43ce113456f45defd0E27e809d719b9CA2362#code

證券日報：多平臺“封堵”數字藏品二級交易:6月22日消息，除微信之外，螞蟻集團旗下數字藏品平臺鯨探也在加大對違規賬號的懲處力度，曾發布對違規用戶處罰公告，已處理超百個違規賬號（獲取、轉贈功能永久封禁）。鯨探官網表示，不支持任何形式的數字藏品轉賣行為。根據規定，用戶購買擁有數字藏品達到180天，可以向其他實名用戶發起轉贈，為防止炒作，受贈方接收數字藏品滿2年后，可以再次發起轉贈。元宇宙產業咨詢服務商維勢咨詢創始合伙人顧偉在接受記者采訪時表示，各大平臺及協會的做法，表明了監管層和相關行業的態度，以期防患于未然。

此前6月20日消息，微信公眾平臺新規禁止提供與數字藏品二級交易服務，否則將被封號。（證券日報）[2022/6/22 1:24:01]

圖四：AwardContract智能合約構造函數

圖五：onlyGovernor修飾詞

圖六：addFreeAward智能合約函數當AwardContract.sol被項目擁有者部署到區塊鏈上時，AwardContract合約的構造函數會被自動執行，也就意味著圖四中43行代碼被自動執行后，項目擁有者會自動被賦予governor身份。擁有governor身份的外部調用者可以類似的執行任意被onlyGovernor修飾詞修飾的智能合約函數，例如圖六中所示addFreeAward函數。由于所有外部調用者都可以通過調用圖七中withdraw函數來將屬于自己的獎勵取出，因此當governor身份的外部調用者為某一個賬戶添加了某一數量的獎勵后，A賬戶可以對該函數進行調用，并通過246行的判斷條件檢查后，通過在281行調用safeIssue()函數來取出被添加的獎勵。

圖七：withdraw智能合約函數綜上分析，Mercurity.finance項目中智能合約存在的后門漏洞均來自于項目擁有者權限過大。在該類中心化治理機制中，項目擁有者得到了可以隨時獲利或者摧毀項目經濟系統的權利。CertiK安全研究團隊建議Mercurity.finance更新項目中采用的治理系統，引入社區管理的機制。CertiK在此提醒廣大用戶：1.合約代碼需要經過嚴格的安全驗證和審計才可被允許公布。2.投資者在投資采用中心化治理機制的項目時需衡量風險，謹慎投資

Tags：ISSCONTONTACTMISS0x0.ai: AI Smart ContractFilecoin 12MonthFACT

DOT