浅析猫鼬安全生产失控事故
1、 核心问题
1Adminupgradeabilityproxy具有自然的负面影响。**的逻辑契约可以被替换
2Adminupgradeabilityproxy权限未转移到timelock。项目方不受时间限制,可以随意使用1。最终,项目方将不受限制地用攻击合同取代正常合同,资金就会流失。
2、 现场恢复(以busd池为例);
1项目方故意“坦诚”地给出了合同timelock的转移权限记录,并显示确实实现了changeadmin方法将权限转移到timelock地址,这是用来迷惑公众的
2.0x7e0c621ea9f7afd5b86a50b0942aee68b04a61c**合同。changeadmin方法的内部调用追溯到第304行,实际写入的键是adminSLoot,而读取的键是adminSLoot。也就是说,O(Euro)和0(zero)之间的细微差别使changeadmin方法完全无效,从而产生了权限已被转移的假象
3、 结论和经验
1高度警惕任何有**合同的项目。如果不受timelock的限制,则可以立即更换合同
2永远不要相信,永远要验证!不要相信项目方提供的timelock的“证据”。对于未审核的fork项目,一定要把原来的项目逐一做好diff(如果做了,可以避开meerkat的掩护)
温馨提示:
文章标题:猫鼬是怎么从德菲矿逃走的?
文章链接:https://www.btchangqing.cn/205150.html
更新时间:2021年03月06日
本站大部分内容均收集于网络,若内容若侵犯到您的权益,请联系我们,我们将第一时间处理。
