BASE:CertiK：Based智能合約出現漏洞，重新部署其一號池事件分析_Tracer DAO

“亡羊補牢，為時未晚”，這句話在生活中的大部分時候均適用。然而，在面臨網絡安全時，牢破也許就會造成無法挽回的損失。在安全問題未造成不可彌補的損失前就被發現，或是一開始便做好萬全準備，才是身為區塊鏈從業者的安全第一要義。北京時間8月14日下午，CertiK安全技術團隊發現DeFi匿名耕種項目Based官方宣布有攻擊者通過調用Based智能合約中的某一個函數，將一號池凍結，同時宣布將重新部署其一號池。官方發布推特稱，有黑客試圖將“Pool1”永久凍結，但嘗試失敗。而“Pool1”將繼續按計劃進行。CertiK通過分析該智能合約，認為這次凍結Based項目一號池事件，是一次由于存在智能合約漏洞導致的事故。

SaucerSwap：Hedera網絡被攻擊，建議用戶撤回流動資金:3月10日消息，Hedera 上 DeFi 項目 SaucerSwap 發推稱，一個持續的漏洞攻擊了 Hedera 網絡，該漏洞利用的目標是智能合約中的反編譯過程。攻擊者已經攻擊了包含包裝資產的 Pangolin 和 HeliSwap 池。不確定其他 HTS 代幣是否也有風險。目前還沒有關于 SaucerSwap 用戶資金被盜的報道，但作為預防措施，鼓勵大家立即撤回流動資金。

此前消息，HBAR 基金會發推稱，Hedera 網絡上 DApp 及其用戶正在受網絡異常影響，基金會正在與受影響的合作伙伴進行溝通，幫助解決問題。[2023/3/10 12:53:14]

Across Protocol：ACX代幣將在Balancer上建立流動性池:11月28日，據官方推特，跨鏈橋Across Protocol表示，已批準在Balancer上建立ACX初始流動性的提案，將在ACX代幣正式流通后在Balancer上建立初始流動性池。此外，上線流動性池后，用戶還將可以通過添加流動性獲得額外的ACX獎勵，未來還可能會申請Balancer和Aura獎勵。[2022/11/28 21:07:36]

事件經過

Based團隊部署一號池智能合約，部署地址為0x77caF750cC58C148D47fD52DdDe43575AA179d1f。Based官方通過調用智能合約中的renounceOwnership函數來聲明智能合約所有者，但未進行智能合約初始化。由于在Based智能合約中initialize函數被錯誤的設置為可以被外部調用，因此造成在初始化智能合約過程中，一號池的智能合約被外部攻擊者用錯誤的值初始化。錯誤的初始化造成Based官方無法再次初始化一號池的智能合約，因此造成一號池被凍結，任何質押行為都無法完成。Based官方決定放棄該智能合約，重新部署一號池智能合約。智能合約技術細節

Balancer Grants DAO已上線并接受贈款申請:官方消息，BalancerDAO治理投票通過后，Balancer Grants DAO已上線并接受贈款申請。Balancer Grants DAO將作為一個獨立的社區擁有的Balancer生態系統的贈款計劃。第一個周期將持續3個月，預算為20,000 BAL（按今天的估值約為50萬美元）分配給Balancer Grantees。[2021/8/20 22:25:37]

1.Based團隊在部署智能合約后，沒有及時的調用下圖的initialize函數來初始化智能合約的設置：

直播｜Fernando ：Balancer 流動性可編程的協議:金色財經 · 直播主辦的金點Trend《2020 DeFi Dai飛嗎？》馬上開始！DeFi生態里，我們還應該狙擊哪些項目？成長空間是多少？應該關注哪些風險？10:30準時開播！本場嘉賓來自Balnacer 的CEO/聯合創始人Fernando分享“Balancer 流動性可編程的協議”，請掃碼移步收聽！[2020/7/30]

2.外部調用者利用Based團隊在部署和初始化智能合約之間的時間差，乘機調用了下圖中671行被錯誤設置調用范圍的initialize函數，搶先初始化了一號池的智能合約：

3.上圖兩個initialize函數都是由initializer的修飾符修飾。根據其中代碼，如果調用了其中一個initialize函數，另外一個initialize函數就無法被調用。initializer修飾符代碼如下圖所示，這造成了Based官方失去了初始化函數的機會：

4.綜上因素，Based智能合約無法被官方正確初始化，因此任何質押行為都無法進行。質押失敗的交易記錄：

如何避免事件發生

該次事件本質上是由智能合約漏洞導致的，但如果Based團隊提早注意到這個漏洞，提前初始化智能合約，可以完全規避這次危險，避免一號池被凍結。因此，CertiK安全技術團隊提出如下建議：部署智能合約時應準備好初始化智能合約所需要的命令腳本等工具，及時初始化智能合約，避免攻擊者利用部署操作和初始化操作之間的時間差搶先初始化或者操縱智能合約。了解智能合約的運行原理和技術細節，不要盲目的采用其他的智能合約代碼。邀請專業的安全團隊對其智能合約進行審計，保證智能合約的安全性和可靠性。我們絕不僅僅是尋找漏洞，而是要消除哪怕只有0.00000000001%被攻擊的可能性。

Tags：CERBALBASENCETracer DAOminifootball幣總量EBASEScience Coin

歐易交易所app下載