北京时间8月31日和9月1日,certik安全研究团队发现yuno Finance(yuno)和泡菜。金融它的智能合约有漏洞。如果这个漏洞被利用,智能合约的拥有者可以无限数量地发行对应于项目的代币,这将导致项目财务进度膨胀,最终崩溃。
无限SEO漏洞
以yuno项目智能合约为例,certik安全研究团队对此次无限发行的漏洞进行了详细分析。技术细节如下:
在yuno项目中主厨.SOL在智能合约的第1354行中,dev方法允许当前拥有devaddr标识的智能合约调用者将devaddr标识传输到另一个地址。
截图来源:https://ETHerscan.io/address/0x450f143f1a8650fff968d890814bd5884bdc8f1d代码
如下图所示,智能合约第1282行的Min方法受到decorator onowner的限制,这决定了只有智能合约的所有者才能执行合约。
以上三张截图来自:https://ETHerscan.io/address/0x450f143f1a8650fff968d890814bd5884bdc8f1d代码
具有devaddr标识的调用者可以调用主厨.SOL智能合约1282行最小法,可无限附加代币。1282 line min方法继续调用1130 line min方法,1130 line min方法继续调用1044 line的_umint方法,最终完成代币发行操作。
Kimichi项目智能合约的漏洞与上述漏洞基本相同,在此不再赘述。
如果所有者和devaddr的地址相同,则智能合约所有者有权发行任意数量的代币,而不受智能合约所有者的外部限制,这将使投资者面临风险。德瓦德和yuno和Kimichi的所有者是同一个人吗?这两个项目是否存在其他外部约束,从而限制智能合约的所有者?
下图为yuno项目主厨.SOL智能合约中带有devaddr和所有者身份的地址(截至北京时间9月1日晚11:00)。
截图来源:https://ETHerscan.io/address/0x9dd5b5c71842a4fd5153532e5470298bfa398fdreadContract
下图在Kimichi项目中金奇夫索尔智能合约中带有devaddr和所有者身份的地址(截至北京时间9月1日晚11:00)。
截图来源:地址:ETHerscan ETHerscan͐网址://
从上面两张图可以看出,yuno项目中带有devaddr和所有者身份的地址是相同的,因此其智能合约的所有者有权发行无限代币。但是,在Kimichi项目中,devaddr和业主的身份是不同的,但由于devaddr的身份可以转移,因此存在一定的风险。
现行措施
为了确保不触发无限发行漏洞,yuno和Kimichi项目的智能合约所有者必须受到外部的限制。目前实施的限制与sushiswap项目一致,即智能合约所有者执行的任何智能合约操作都会延迟48小时。智能合约所有人的任何操作都将被所有投资者观察,并将有48小时的时间进行处理。
Certik安全团队建议
目前,DeFi和相关的农业项目非常受欢迎。由于区块链项目对项目代码的开放性有要求,新上线项目的门槛非常低。如果我们盲目地学习其他项目,任何漏洞都可能被引入到项目中。因此,在项目上线前,必须对项目进行严格的安全审计。
从投资者的角度看,目前的农业项目的回报率往往高达几千%,投资者对项目本身缺乏足够的了解,很容易盲目投资。例如,寿司交换、yuno和泡菜在没有经过严格的安全验证的情况下迅速推出。投资者可能会被巨大的回报搞糊涂了,把宝贵的资金投资到风险很大的智能合约上。
文章标题:yuno和泡菜智能寿司掉期合约存在漏洞
文章链接:https://www.btchangqing.cn/96425.html
更新时间:2020年09月02日
本站大部分内容均收集于网络,若内容若侵犯到您的权益,请联系我们,我们将第一时间处理。
