“亡羊补牢,为时未晚”,这句话在生活中的大部分时候均适用。然而,在面临网络安全时,牢破也许就会造成无法挽回的损失。在安全问题未造成不可弥补的损失前就被发现,或是一开始便做好万全准备,才是身为区块链从业者的安全第一要义。北京时间8月14日下午,CertiK安全技术团队发现DeFi匿名耕种项目Based官方宣布有攻击者通过调用Based智能合约中的某一个函数,将一号池冻结,同时宣布将重新部署其一号池。官方发布推特称,有黑客试图将“Pool1”永久冻结,但尝试失败。而“Pool1”将继续按计划进行。CertiK通过分析该智能合约,认为这次冻结Based项目一号池事件,是一次由于存在智能合约漏洞导致的事故。
CertiK:谨防Twitter上的虚假RICK认领/索赔网站:金色财经消息,CertiK提示社群成员谨防Twitter上的虚假RICK认领/索赔网站。该网站已连接到一个已知的钓鱼地址。[2023/6/9 21:24:56]
事件经过
Based团队部署一号池智能合约,部署地址为0x77caF750cC58C148D47fD52DdDe43575AA179d1f。Based官方通过调用智能合约中的renounceOwnership函数来声明智能合约所有者,但未进行智能合约初始化。由于在Based智能合约中initialize函数被错误的设置为可以被外部调用,因此造成在初始化智能合约过程中,一号池的智能合约被外部攻击者用错误的值初始化。错误的初始化造成Based官方无法再次初始化一号池的智能合约,因此造成一号池被冻结,任何质押行为都无法完成。Based官方决定放弃该智能合约,重新部署一号池智能合约。智能合约技术细节
Larry Cermak:Alameda的投资超过470项,总投资额大约为53亿美元:金色财经报道,The Block研究副总裁Larry Cermak在社交媒体上称,从《金融时报》的文章中导出了所有Alameda的投资(超过470项)。总投资额大约为53亿美元。其中,最大的投资是:1.Genesis Digital Assets;2.Anthropic;3.Digital Assets DA AG;4.K5;5.EX。
此前金色财经报道,金融时报披露Alameda投资了马斯克的SpaceX和Boring Company。[2022/12/7 21:27:22]
1.Based团队在部署智能合约后,没有及时的调用下图的initialize函数来初始化智能合约的设置:
CertiK:加密项目DMC发生Rug Pull,代币价格下跌94%:6月25日消息,CertiK 监测显示,加密项目 DMC 发生 Rug Pull,代币价格下跌 94%,部署者在 17 天前铸造了代币,将它们送到另一个钱包,然后出售。[2022/6/25 1:31:13]
2.外部调用者利用Based团队在部署和初始化智能合约之间的时间差,乘机调用了下图中671行被错误设置调用范围的initialize函数,抢先初始化了一号池的智能合约:
声音 | 巴西医生Bettina Grajcer:未来健康行业将使用区块链技术共享医疗数据:据Cointelegraph 12月7日消息,巴西商人兼医生Bettina Grajcer在最近发文表示,健康行业正经历着独特的转型时刻,未来的趋势将是使用区块链等技术。她表示,将来应使用区块链共享医疗数据。[2019/12/8]
3.上图两个initialize函数都是由initializer的修饰符修饰。根据其中代码,如果调用了其中一个initialize函数,另外一个initialize函数就无法被调用。initializer修饰符代码如下图所示,这造成了Based官方失去了初始化函数的机会:
4.综上因素,Based智能合约无法被官方正确初始化,因此任何质押行为都无法进行。质押失败的交易记录:
如何避免事件发生
该次事件本质上是由智能合约漏洞导致的,但如果Based团队提早注意到这个漏洞,提前初始化智能合约,可以完全规避这次危险,避免一号池被冻结。因此,CertiK安全技术团队提出如下建议:部署智能合约时应准备好初始化智能合约所需要的命令脚本等工具,及时初始化智能合约,避免攻击者利用部署操作和初始化操作之间的时间差抢先初始化或者操纵智能合约。了解智能合约的运行原理和技术细节,不要盲目的采用其他的智能合约代码。邀请专业的安全团队对其智能合约进行审计,保证智能合约的安全性和可靠性。我们绝不仅仅是寻找漏洞,而是要消除哪怕只有0.00000000001%被攻击的可能性。
编者按:本文来自威廉闲谈,作者:陳威廉,Odaily星球日报经授权转载。DeFi目前真是越来越火了,以前是独乐乐,现在是众乐乐.
吴说区块链获悉,四川近期第二批水电消纳产业示范区企业披露,其中“大数据”包括凉山州的潘达云计算科技有限公司、宁南云算氢能科技有限公司;以及雅安的天全云算科技有限公司、芦山县沄数科技有限公司、四川.
今日,备受市场关注的DeFi项目方Curve宣布其治理代币的初始预挖矿活动已经结束,据悉,此次活动共吸引超过9000个地址参与,共计瓜分了1.515亿CRV代币.
这一轮汹涌澎湃的DeFi大潮来得非常突然,让很多没有及时上车的朋友慌了手脚。其实不仅是大量散户投资者没有跟上,很多币圈投资机构和行业老人都还处于比较被动的状态.
编者按:本文来自PlatON,作者:PlatON、万向区块链首席经济学家邹传伟,Odaily星球日报经授权转载.
最近市场都将注意力放在围绕DeFi概念的项目和币种身上,而比特币和传统主流币仍是大部分投资者的首选,但有一个以往热点的币种近期正被市场忽视——平台币,特别是三大交易所的平台币.