買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > FIL幣 > Info

ADD:首發 | Text.finance智能合約安全漏洞分析_bithot

Author:

Time:1900/1/1 0:00:00

北京時間11月12日,CertiK安全研究團隊發現DeFi項目text.finance智能合約代碼部分存在安全漏洞。

分析之前,先考考大家的眼力,看看下圖里面的文字說了什么。

如果看不清,不妨點擊圖片后把屏幕亮度調至最高。

有的時候,某些不想讓你看到的因素,正是通過排版或者這樣的方式,被刻意隱藏了起來。

接下來說說該項目中存在的兩處漏洞。大家不妨在閱讀文章的時候注意一下圖中[function函數]的位置。

首發 | 百度財報體現區塊鏈 BaaS平臺成為新戰略重點:金色財經報道,2020年2月28日,百度(股票代碼BAIDU)公布財報,其中將區塊鏈BaaS平臺相關的進展進行了單獨敘述,依托于百度智能云的區塊鏈平臺有望成為技術創新方向的新增長引擎。在AI服務上,百度與上海浦東發展銀行達成合作,共建區塊鏈聯盟,在百度區塊鏈服務(BaaS)平臺上實現跨行信息驗證。[2020/2/28]

第一彈:項目擁有者可通過第一處漏洞,將指定數目代幣轉移到任意地址。

第二彈:項目擁有者可通過第二處漏洞,將任意投資者的流動性池中的資產強制轉移到項目擁有者的地址中。

textMiner.sol

首發 | Bithumb將推出與Bithumb Global之間的加密資產轉賬服務:Bithumb內部人士對金色財經透露,Bithumb推出和Bithumb Global之間的加密貨幣資產免手續費快速轉賬服務,每日加密貨幣資產轉賬限額為2枚BTC。此消息將于今日晚間對外公布。據悉,目前僅支持BTC和ETH資產轉賬。[2020/2/26]

部署地址: 

https://etherscan.io/address/0x9858728de38c914c2ea32484a113b6628d984a82#code

1. 漏洞一

項目擁有者在textMiner.sol智能合約1000行處實現了withUpdates()函數。該函數的的作用是可以將任意數量的為devaddr地址鑄造任意數量的代幣。而通過查看圖2中devaddr和項目擁有者owner的地址值,可以發現兩者相同,因此項目擁有者可以通過該漏洞為devaddr地址鑄造任意數目代幣。

首發 | 火幣集團全球業務副總裁:監管將決定區塊鏈技術和加密貨幣的落地速度:1月21日,火幣集團全球業務副總裁Ciara Sun在達沃斯世界經濟論壇上表示,對區塊鏈和數字貨幣的監管態度,2019年是重要的一年。在美國,到2019年底,針對加密貨幣和區塊鏈政策有21項法案,這些法案包括稅收問題,監管結構,跟蹤功能和ETF批準,哪些聯邦機構監管數字資產等。歐盟(EU)在2020年1月10日實施了一項新法律,要求加密貨幣平臺采取更嚴格的反洗錢做法。瑞士,日本,立陶宛,馬耳他和墨西哥通過法律,要求交易所必須根據KYC和AML準則獲得許可。中國,土耳其,泰國等國家正在計劃自己的中央銀行數字貨幣(CBDC)。而監管將決定區塊鏈技術和加密貨幣的落地速度。[2020/1/22]

同時,當前的devaddr地址擁有者可以通過圖3的dev()函數將devaddr地址值更換到另外一個地址,因此最終項目擁有者可以更換將devaddr地址值更換的方法,向任意地址中鑄造任意數目代幣。

首發 | 劉堯:百度區塊鏈推出天鏈平臺賦能鏈上業務:12月20日,由CSDN主辦的“2019中國區塊鏈開發者大會”12月20日在北京舉行。百度智能云區塊鏈產品負責人劉堯以《企業區塊鏈賦能產業創新落地》為主題進行了演講,他指出:2020年將是區塊鏈企業落地的元年,為了支持中國區塊鏈的產業落地,百度將區塊鏈進行平臺化戰略升級,依托百度智能云推出天鏈平臺,就是要賦能360行的鏈上業務創新落地。[2019/12/20]

雖然項目擁有者將圖1中的withUpdates()函數設置為不允許智能合約外部調用,但是卻有意地在圖4中919行實現了允許被外部調用的add()函數,然后通過921行代碼調用withUpdates()函數,從而實現向devaddr地址鑄造1000000000000000000000000000000數量代幣。

圖1:第1000行中的withUpdates()函數

圖2:devaddr地址以及項目擁有者owner地址

圖3:dev()函數

圖4:add()函數

2. 漏洞二

圖5:emergencyWithdraw()函數

項目擁有者可以通過調用圖5中emergencyWithdraw()函數,將某一個特定地址投資者的某一個流動性池中的流動性資產全部取出,并轉移到項目擁有者的地址中。

該emergencyWithdraw()函數是一個基于正確的emergencyWithdraw()函數。因此就算審視合約者不惡意揣測,也很難說項目方不是惡意改寫,并添加了該漏洞。

從下圖6的對比中可以發現,Sushiswap允許投資者通過調用emergencyWithdraw()函數,緊急取出屬于自己的流動性資產,而在text.finance中卻僅允許項目擁有者來調用該函數,同時允許項目擁有者取出屬于任何投資者的流動性資產。

圖6:text.finance和sushiswap項目中emergencyWithdraw()函數實現對比

CertiK安全研究團隊認為當投資者在對DeFi項目進行投資時,不僅需要對智能合約常見的代碼有所了解,更需要謹慎地審視具體代碼的實現邏輯。否則極易掉入類似該項目中的惡意漏洞陷阱當中。

對于非技術背景的投資者,更需要了解項目是否經過嚴謹的技術審計。從Text.finance項目的惡意漏洞中可以看出,盲目投資一個沒有經過嚴格審計的項目,或引發極大風險,并造成難以估量的損失。

Tags:區塊鏈ITHADDWITH有人靠區塊鏈4天就掙了30萬塊錢bithotRadditarium NetworkDontPlaywithKitty

FIL幣
Genesis:以太坊2.0創世事件_Genesis Finance

關鍵詞 ? 存款合約 ? Seconds_Per_Eth1_Block (每個Eth1區塊的出塊時間) = 14秒? Eth1_Follow_Distance (Eth1同步距離) = 1024.

1900/1/1 0:00:00
數字人:視頻 | 叔叔在2010年買了100美元的比特幣_TUB

我繼承了叔叔在2010年買了100美元的比特幣,然后……騰訊視頻推出數字人民幣消費紅包:7月19日消息,騰訊視頻于近日推出了數字人民幣消費紅包活動,通過安卓客戶端發放消費紅包.

1900/1/1 0:00:00
TOKEN:PlusToken案二審裁定書:依法處理查獲的近42億美元數字貨幣 所得收益上繳國庫(全文)_PLU

11月26日,PlusToken傳銷案二審刑事裁定書公布。據裁定書中所述,執法部門從7名罪犯賬戶中查獲194,775枚BTC、833,083枚ETH、140萬枚LTC、2760萬枚EOS、74,

1900/1/1 0:00:00
OVR:OVR的世界:現實和虛擬交錯的新世界_movr幣發行價

加密領域一直以來都在進行各種創新的前沿實驗,其中包括加密游戲和加密虛擬現實。這些嘗試正在逐步顯示出效果,這歸功于多個方面,而其中非常關鍵的一點是,加密經濟驅動生態的自我成長.

1900/1/1 0:00:00
DEFI:金色硬核|全面解析DeFi 6層堆棧和DeFi風險管理_FLUSD

金色財經近期推出金色硬核(Hardcore)欄目,為讀者提供熱門項目介紹或者深度解讀。本期金色硬核為加密貨幣知名風投Multicoin Capital近日發表的一篇文章“The DeFi Sta.

1900/1/1 0:00:00
ENT:DeFi后繼乏力?還有哪些領域值得關注?AAX學院_DeFi Coin Bonus

所有市場都會有波動,有起伏也有低迷。有時候市場熱情–或者純粹的貪婪–會推動牛市,但也有時候會導致泡沫的形成。DeFi已經風靡了一段時間,有些項目很成功,也有一些項目還不成熟.

1900/1/1 0:00:00
ads