IZE:首發 | DeFi項目Based智能合約出現漏洞 發生了什么？_Based Money

“亡羊補牢，為時未晚”，這句話在生活中的大部分時候均適用。然而，在面臨網絡安全時，牢破也許就會造成無法挽回的損失。

在安全問題未造成不可彌補的損失前就被發現，或是一開始便做好萬全準備，才是身為區塊鏈從業者的安全第一要義。

北京時間8月14日下午，CertiK安全技術團隊發現DeFi匿名耕種項目Based官方宣布有攻擊者通過調用Based智能合約中的某一個函數，將一號池（Pool 1）凍結，同時宣布將重新部署其一號池。

LBank藍貝殼于5月3日20:00首發 CSPR(Casper)，開放USDT交易:據官方公告，5月3日20:00，LBank藍貝殼上線 CSPR(Casper)，開放USDT交易，同時并開放充值，資料顯示，Casper網絡是基于CasperCBC規范構建的第一個實時權益證明區塊鏈。Casper旨在加速當今企業和開發人員對區塊鏈技術的采用，同時確保隨著網絡參與者需求的發展，其在未來仍能保持高性能。[2021/5/3 21:19:51]

官方發布推特稱，有黑客試圖將“Pool1”永久凍結，但嘗試失敗。而“Pool1”將繼續按計劃進行。

首發 | imKey正式支持Filecoin，成為首批Filecoin硬件錢包:12月1日，隨著imToken2.7.2版本上線，imKey同步支持Filecoin，成為業內首批正式支持FIL的硬件錢包。Filecoin作為imKey多鏈支持的優先級項目之一，成為繼BTC、ETH、EOS和COSMOS四條公鏈后的第五條公鏈。

據悉，imKey團隊已在Q4全面啟動多鏈支持計劃，計劃實現imToken已經支持的所有公鏈項目，本次imKey升級更新，無需更換硬件，不涉及固件升級，通過應用（Applet）自動升級，即可實現imKey對Filecoin的支持及FIL的代幣管理。[2020/12/2 22:52:32]

CertiK通過分析該智能合約，認為這次凍結Based項目一號池事件，是一次由于存在智能合約漏洞導致的事故。

首發 | Bithumb將推出與Bithumb Global之間的加密資產轉賬服務:Bithumb內部人士對金色財經透露，Bithumb推出和Bithumb Global之間的加密貨幣資產免手續費快速轉賬服務，每日加密貨幣資產轉賬限額為2枚BTC。此消息將于今日晚間對外公布。據悉，目前僅支持BTC和ETH資產轉賬。[2020/2/26]

Based團隊部署一號池智能合約，部署地址為0x77caF750cC58C148D47fD52DdDe43575AA179d1f。

IMEOS首發 EOS Go公布新增兩條復選條件 :據金色財經合作伙伴IMEOS報道：今日，EOS Go在 steemit上公布新增的兩條復選條件為：

1. 保證安全的計劃：候選節點是否在steemit上發布文章介紹該節點的安全方法和計劃，“安全方法”標準是向EOS選民展示安全最佳實踐知識和組織實施計劃的機會；

2. 立場：描述該節點分享通脹獎勵和/或向EOS代幣持有人派發股息的立場（候選節點在steemit發布）。主要闡述以下兩個問題：

該組織是否會出于任何原因向EOS令牌選民提供支付，包括BP選舉和社區建議？

該組織是否有書面的無票付款政策？如果是這樣，請提供一個鏈接。[2018/4/27]

Based官方通過調用智能合約中的renounceOwnership函數來聲明智能合約所有者，但未進行智能合約初始化。

由于在Based智能合約中initialize函數被錯誤的設置為可以被外部調用，因此造成在初始化智能合約過程中，一號池的智能合約被外部攻擊者用錯誤的值初始化。

錯誤的初始化造成Based官方無法再次初始化一號池的智能合約，因此造成一號池被凍結，任何質押行為都無法完成。

Based官方決定放棄該智能合約，重新部署一號池智能合約。 

1. Based團隊在部署智能合約后，沒有及時的調用下圖的initialize函數來初始化智能合約的設置：

2. 外部調用者利用Based團隊在部署和初始化智能合約之間的時間差，乘機調用了下圖中671行被錯誤設置調用范圍的initialize函數，搶先初始化了一號池的智能合約：

3. 上圖兩個initialize函數都是由initializer的修飾符修飾。根據其中代碼，如果調用了其中一個initialize函數，另外一個initialize函數就無法被調用。initializer修飾符代碼如下圖所示，這造成了Based官方失去了初始化函數的機會：

4. 綜上因素，Based智能合約無法被官方正確初始化，因此任何質押行為都無法進行。

質押失敗的交易記錄：

該次事件本質上是由智能合約漏洞導致的，但如果Based團隊提早注意到這個漏洞，提前初始化智能合約，可以完全規避這次危險，避免一號池被凍結。因此，CertiK安全技術團隊提出如下建議：

部署智能合約時應準備好初始化智能合約所需要的命令腳本等工具，及時初始化智能合約，避免攻擊者利用部署操作和初始化操作之間的時間差，搶先初始化或者惡意操縱智能合約。

開發者應精通智能合約的運行原理和技術細節，不要盲目的采用其他的智能合約代碼。

可邀請專業的第三方安全團隊或內部安全專家對其智能合約進行審計，保證智能合約的安全性和可靠性。

Tags：BASEBASEDBASIZEPrimalbaseBased MoneyBASHTANK價格Tokenize Xchange

Polygon