链资讯 链资讯
Ctrl+D收藏链资讯
首页 > 波场 > 正文

MIN:CertiK:DeFi项目Walletreum内部操作攻击事件分析_Minter

作者:

时间:

马克思曾在资本论中引用一句名言:“如果有10%的利润,它就保证到处被使用;有20%的利润,它就活跃起来;有50%的利润,它就铤而走险;为了100%的利润,它就敢践踏一切人间法律;有300%的利润,它就敢犯任何罪行,甚至绞首的危险。”对于区块链来说,去中心化是一切的本质,更是区块链世界和生态的标杆。无论是什么形式的去中心化,它的本质实际上指的都是权力从顶层中心化机构到基层个体的下沉。这个下沉趋势随着世界的发展不断的惠及每一个个体。区块链所言的“去中心化”同样是随着经济和科技发展,迎合社会发展本质上的一类。铸币权便是其中之一。这里的铸币权指的是将其下放至专业及安全的团队或个体手中,通过健康的社区治理,达到实现区块链领域愿景的目的。然而如同早年间的铸币行为在传统金融中屡禁不绝,区块链领域内的恶意铸币行为也是无休无止。一个项目其违背去中心化的本质,通过拥有者的极大权限进行恶意铸币,不仅仅损害了项目的良势发展,更是损害了每一位投资者与项目支持者的切身利益。

Espresso Sequencer测试网版本Doppio已发布,未来数月将向外部节点开放:7月20日消息,区块链基础设施公司Espresso Systems在Polygon zkEVM分叉版本上发布了Espresso Sequencer的测试网版本Doppio。该测试网已经在该公司内部运行,并将在未来几个月内向外部节点开放。

另外,该团队还计划利用ETH质押来确保与以太坊Layer1的经济一致性,目前正在与Eigenlayer合作。

在Polygon zkVM上启动测试网之后,Espresso联合创始人Jill Gunter指出,Espresso还在与Caldera合作,以在Espresso Sequencer和OP堆栈之间建立集成。此外,Espresso已经与Spire、Injective和Catalyst AMM达成合作,以支持这些项目优先与Espresso的Sequencer集成。[2023/7/20 11:06:37]

沙特机场地勤服务提供商SGS将在28个机场实施DocCerts区块链管理解决方案:金色财经报道,沙特机场地勤服务提供商 SGS 将与区块链公司 IR4LAB 合作,在沙特的 28 个机场实施 DocCerts 区块链管理解决方案,适用于 SGS 提供地面服务的 28 个沙特阿拉伯机场颁发的所有培训相关数字文件和地面服务设备许可证。[2023/2/9 11:56:45]

北京时间11月16日,CertiK安全研究团队发现DeFi项目Walletreum被项目团队通过内部操作,恶意铸造5亿个WALT代币。截止11月16日早5时,恶意铸造的代币量已约合近190万人民币。CertiK安全研究团队通过分析其智能合约代码,发现其智能合约代码中心化风险极高,存在安全隐患,项目拥有者拥有权限向任意地址铸造任意数目的代币。完整技术分析如下:攻击详情分析

Balancer 社区发起提案激活v2协议费用,目前获98%支持率:12月10日消息,Balancer 社区现已在Snapshot发起提案激活v2协议费用,具体费用可以设置在矿池费用的 0-50% 之间。在初始阶段,协议费用将累积在金库中,此后可用于创建 DAO 金库指数基金、回购 BAL 等用途。目前,该提案已经获得98%的支持率,并将在UTC时间12月12日上午6时结束。[2021/12/10 7:30:32]

项目拥有者地址:0xa5e552e3d643cc89f3b1ceccfd6f42c5c1aee775

Hanbitco参加EOS的Blockchain Producer竞选:韩国虚拟货币交易所Hanbitco称参加EOS的Blockchain Producer竞选。此为韩国虚拟货币交易所首次参加EOS的 Blockchain Producer竞选。[2018/5/24]

图一:内部操作攻击交易信息图一是Walletreum项目中WALTToken智能合约被内部操作,铸造额外5亿个WALT代币的交易信息。该交易哈希值为0xc0f3b0576f18a714d78b822754489d4201c9e36fb0ce4b2f53a93217564710e5。CertiK天网系统(Skynet)检测到区块1126401出现异常交易信息后,立刻向CertiK安全研究团队发出警示。CertiK安全研究团队在对该项目智能合约进行快速分析后,认为该项目为当前一典型的由于智能合约高中心化而导致的攻击。

图二:WALTToken智能合约mint()函数图二为遭受内部操作攻击智能合约中被恶意调用的函数mint()。从666行的代码实现中可以看出,任何拥有minter权限、可以通过onlyMinter修饰符限制的外部调用者均可以调用该函数。该函数的作用是通过667行代码向任意账户铸造任意数目的代币。通过图三中619行onlyMinter修饰符的逻辑实现,以及615行构造函数中给与智能合约部署者minter权限的逻辑实现,智能合约部署者拥有了可以执行图二中mint函数的权限。

图三:onlyMinter修饰符以及给与项目管理者minter权限的构造函数

图四:项目拥有者拥有minter权限查询项目拥有者是否拥有minter权限的结果如图四所示。至此,项目拥有者拥有执行mint函数的权利,最终恶意铸造了5亿个WALT代币,致使项目投资者遭受损失。安全建议

CertiK安全团队通过研究认为,目前大多数DeFi项目中均存在类似于Walletreum项目的风险。该类mint函数以及minter权限的实现表明了当前DeFi项目中项目拥有者权限过大,中心化风险较高。这会导致内部操作等情况的发生完全依赖于项目拥有者个人或者团队的“个人素质”与选择。CertiK团队此前分析过同样存在中心化风险的Mercurity.finance项目,而类似此次Walletreum项目被内部操作攻击的情况以后想必也依旧会发生。在此,CertiK团队发出建议:如要防范此类内部操作,应当注重提高社区治理的程度,并在项目实现上尽可能降低中心化权限,对任意重要操作均需要通过社区投票或者运用Timelock延时限制机制。

标签:MININTMINTMinterGemini特殊含义Point NetworkMintMe.com CoinMinter HUB

波场热门资讯
FIL:以太坊2.0蓄势待发,倒数三天市场表现几何_ETH2.0

本文来自:哈希派,作者:LucyCheng,星球日报经授权转发。 一、总览 长久以来被戏称为“永远还有十八个月”的以太坊2.0,最近一个月终于有了突破性的新进展.

以太坊:NFT简史_Dragon Crypto Aurum

中文标题:NFT简史字数:2004译者:Typto翻译机构:DAOSquare 这是AndrewSteinwold在2019年10月写的一篇NFT历史回顾,虽然在2020年.

NFT:英国央行首席经济学家:数字货币可能成为“新货币秩序”的一部分_sorare币价格

编者按:本文来自Cointelegraph中文,作者:SAMBOURGI,Odaily星球日报经授权转载。英国央行正在扩大其对数字货币的评估,包括评估这些资产如何构成“新货币秩序”的基础.

数字货币:国盛区块链:灰度比特币信托持币超50万枚,数字资产有望成为主流资产配置_Point Network

编者按:本文来自吉时通信,Odaily星球日报经授权转载。比特币价格持续走高,灰度比特币信托持币超过50万枚。过去一周,比特币价格持续走高,盘中突破16000美元.

比特币:灰度乌龙新闻助力ETH突破500刀大关,以太坊后市还可以看好吗_CSI

编者按:本文来自风火轮社区,作者:佩佩,Odaily星球日报经授权转载。现在这个市场似乎只要是灰度上班的日子就春意盎然,有时会一时间分不清到底GBTCETHE这些信托是跟踪价格基金,还是我们在跟.

比特币:BTC再破16800刀,「权游」女主也想买了,你支持她吗?_aisifund

不得了了,BTC今天再度突破16800刀,火热的形势下,临冬城公爵之女,无面者史上第一位女刺客艾莉娅·史塔克,也开始心动了——该不该长期有比特币?请各位粉丝速来投票,在线等.