BIT:CertiK安全分析：SushiSwap仿盘 YUNO与KIMCHI智能合约漏洞或存安全隐患_bitmart交易所官网下载网址

北京时间8月31日和9月1日，CertiK安全研究团队发现Sushiswap仿盘的两个项目YUNoFinance(YUNO)与KIMCHI.finance(KIMCHI)，其智能合约均存在漏洞。如果利用该漏洞，智能合约拥有者可以无限制地增发项目对应的代币数目，导致项目金融进度通胀并最终崩溃。

无限增发漏洞

以Yuno项目中智能合约为例，CertiK安全研究团队对于该无限增发漏洞进行了详细分析，技术细节如下：

在Yuno项目中的MasterChef.sol智能合约第1354行中，dev方法可以允许当前拥有devaddr身份的智能合约调用者，将devaddr身份转移给另外一个地址。

eBay收购数字ID认证公司Certilogo:金色财经报道，eBay今天宣布已完成对Certilogo的收购，Certilogo是一家提供人工智能驱动的服装和时尚商品数字ID和身份验证的公司。该交易的财务条款并未披露。这家总部位于米兰的公司将继续由首席执行官Michele Casucci领导。[2023/7/12 10:49:32]

截图出自：

https://etherscan.io/address/0x450f143f1a8650fff968d890814bd5884bdc8f1d#code

下图中可以看到在智能合约1282行的mint方法是由修饰器onlyOwner进行限制，修饰器onlyOwner决定了只能是智能合约拥有者来执行这个合约。

UpLift DAO与安全审计公司CertiK达成合作:6月1日消息，加密项目孵化服务去中心化自治组织 UpLift 宣布与安全审计公司 CertiK 达成合作伙伴关系，旨在构建一个安全可靠的 Launchpad 服务，CertiK 将对在 UpLift 上启动的项目的智能合约和区块链代码进行渗透测试、手动代码审查和全面的安全评估。截止目前，UpLift DAO 共筹集了 1,211,158.57 BUSD，用于 DeFi、GameFi 和 NFT 领域的项目扩展。（cryptopolitan）[2022/6/1 3:54:38]

以上三截图均出自：https://etherscan.io/address/0x450f143f1a8650fff968d890814bd5884bdc8f1d#code

HOGT-DEX生态已通过Certik代码审计:据官方消息，HOGT-DEX生态已通过美国Certik代码审计。

CertiK区块链网络安全公司，由耶鲁大学与哥伦比亚大学计算机学教授共同创立。旨在使用最严密和最彻底的网络与软件安全技术来识别并消除安全漏洞。截至目前，CertiK已进行了超过700次审计，审计了超过39.6万行代码，保护了超过300亿美元的资产免受损失。

HOGT是基于火币生态链的综合性DeFi生态服务平台，融合聚合收益、DEX、借贷等多板块业务，致力于建设DeFi全生态服务系统。[2021/6/9 23:23:24]

拥有devaddr身份的调用者，当其身份恰好同时为owner身份的时候，可以通过调用MasterChef.sol智能合约1282行的mint方法，来无限制的增发代币。1282行的mint方法会继续调用1130行的mint方法，并继续由1130行mint方法调用1044行的_mint方法，并最终完成代币增发的操作。

动态 | CertiK入选Etherscan智能合约安全审计推荐名单:据Ehterscan官网信息，CertiK入选Etherscan智能合约安全审计推荐名单，预计将为全球更多的智能合约提供安全护盾。Etherscan是以太坊主导的全球知名区块链浏览与分析平台，也是以太坊及其智能合约活动的重要入口。CertiK 是一家形式化验证安全审计公司，致力于通过与深度规范技术（DeepSpec）重塑人们对智能合约和区块链安全的信任。作为多家交易所指定的代码审计机构，CertiK迄今为止已为数十个区块链项目提供了智能合约的形式化验证服务。[2018/7/18]

Kimichi项目智能合约中存在的无限增发漏洞与以上漏洞基本相同，因此在这里不进行重复叙述。

如果owner和devaddr的地址如果相同，那么在外部没有对智能合约拥有者限制的情况下，智能合约拥有者拥有权利增发任意数量的代币，这将会将投资者置于风险之中。那么Yuno和Kimichi这两个项目中的devaddr和owner是否为同一人呢？是否有其他外部制约机制可以限制这两个项目的智能合约拥有者呢？

下图为Yuno项目MasterChef.sol智能合约中拥有devaddr和owner身份的地址。

截图出自：https://etherscan.io/address/0x9dd5b5c71842a4fd51533532e5470298bfa398fd#readContract

下图为Kimichi项目中KimchiChef.sol智能合约中拥有devaddr和owner身份的地址。

截图出自：https://etherscan.io/address/0x9dd5b5c71842a4fd51533532e5470298bfa398fd#readContract

从上两图中可以看到，Yuno项目中拥有devaddr和owner身份的地址为同一个，因此其智能合约拥有者有权利进行无限制的代币增发。而Kimichi项目中拥有devaddr和owner身份不同，但由于devaddr的身份可以进行转移，因此也存在一定的风险。

目前措施

为了确保无限增发漏洞不会被触发，对于Yuno和Kimichi两个项目的智能合约拥有者必须由外部进行限制。当前已经实施的限制条件与Sushiswap项目一致，即对任何由智能合约拥有者进行的智能合约操作，均有48小时的延迟。任何来自智能合约拥有者的操作都会被所有投资者观察到，并有48小时进行应对操作。

CertiK安全团队建议

当前DeFi以及相关Farming项目异常火爆，由于区块链项目对于项目代码公开性有要求，因此上线新项目门槛极低。如果盲目借鉴其他项目，任意漏洞都可能被引入到项目中。因此在项目上线之前，应该对项目进行严格的安全审计。

从投资者角度，当前Farming项目动辄百分之几千的回报率，极易促使投资者在没有对项目本身有足够了解的情况下进行盲目投资。例如SushiSwap，Yuno以及Kimchi三个项目均没有经过严谨的安全验证就快速上线。投资者可能会被巨大的利益回报迷惑，将宝贵资金投入到有极大风险的智能合约中。

标签：BITHOTADDDDRbitmart交易所官网下载网址hotcoinglobal2022ADD币DDRT

BNB热门资讯