“亡羊补牢,为时未晚”,这句话在生活中的大部分时候均适用。然而,在面临网络安全时,牢破也许就会造成无法挽回的损失。
在安全问题未造成不可弥补的损失前就被发现,或是一开始便做好万全准备,才是身为区块链从业者的安全第一要义。
北京时间8月14日下午,CertiK安全技术团队发现DeFi匿名耕种项目Based官方宣布有攻击者通过调用Based智能合约中的某一个函数,将一号池(Pool 1)冻结,同时宣布将重新部署其一号池。
官方发布推特称,有黑客试图将“Pool1”永久冻结,但尝试失败。而“Pool1”将继续按计划进行。
CertiK通过分析该智能合约,认为这次冻结Based项目一号池事件,是一次由于存在智能合约漏洞导致的事故。
ZEC跌破62美元关口 日内跌幅为0.77%:火币全球站数据显示,ZEC短线下跌,跌破62美元关口,现报61.97美元,日内跌幅达到0.77%,行情波动较大,请做好风险控制。[2020/10/26]
Based团队部署一号池智能合约,部署地址为0x77caF750cC58C148D47fD52DdDe43575AA179d1f。
Based官方通过调用智能合约中的renounceOwnership函数来声明智能合约所有者,但未进行智能合约初始化。
由于在Based智能合约中initialize函数被错误的设置为可以被外部调用,因此造成在初始化智能合约过程中,一号池的智能合约被外部攻击者用错误的值初始化。
错误的初始化造成Based官方无法再次初始化一号池的智能合约,因此造成一号池被冻结,任何质押行为都无法完成。
Based官方决定放弃该智能合约,重新部署一号池智能合约。
1. Based团队在部署智能合约后,没有及时的调用下图的initialize函数来初始化智能合约的设置:
2. 外部调用者利用Based团队在部署和初始化智能合约之间的时间差,乘机调用了下图中671行被错误设置调用范围的initialize函数,抢先初始化了一号池的智能合约:
3. 上图两个initialize函数都是由initializer的修饰符修饰。根据其中代码,如果调用了其中一个initialize函数,另外一个initialize函数就无法被调用。initializer修饰符代码如下图所示,这造成了Based官方失去了初始化函数的机会:
4. 综上因素,Based智能合约无法被官方正确初始化,因此任何质押行为都无法进行。
质押失败的交易记录:
该次事件本质上是由智能合约漏洞导致的,但如果Based团队提早注意到这个漏洞,提前初始化智能合约,可以完全规避这次危险,避免一号池被冻结。因此,CertiK安全技术团队提出如下建议:
部署智能合约时应准备好初始化智能合约所需要的命令脚本等工具,及时初始化智能合约,避免攻击者利用部署操作和初始化操作之间的时间差,抢先初始化或者恶意操纵智能合约。
开发者应精通智能合约的运行原理和技术细节,不要盲目的采用其他的智能合约代码。
可邀请专业的第三方安全团队或内部安全专家对其智能合约进行审计,保证智能合约的安全性和可靠性。
标签:DEFDEFIBTCEARNDeFiHorseDefi Shopping StakeLBTCYearn Compounding veCRV yVault
当下数字货币其衍生品市场正在崛起,据TokenInsight数据显示,2019全年衍生品交易量3万亿美元,日均衍生品交易量85亿美元。预计到2020年底,加密衍生品市场的规模将达到基础现货市场规模的20倍。显然数字货币衍生品交易是开拓增量市场的一大风口,拥有着巨大的发展空间。
数字人民币的试点范围可能会扩容,A股整个概念板块都沸腾了。 市场的憧憬很美好,数字货币的普及将惠及相关产业链,利好上市公司。但遗憾的是,大多数人都忽略了文件的细节,商务部通知明确指出,当前数字人民币的试点范围是深圳、成都、苏州、雄安新区四地以及未来的冬奥会场景。这些地方成熟之后,才会视情况扩大到其他地区。
文章系金色财经专栏作者币圈北冥供稿,发表言论仅代表其个人观点,仅供学习交流!金色盘面不会主动提供任何交易指导,亦不会收取任何费用指导交易,请读者仔细甄别,谨防上当。
金色财经8月20日讯 行情显示YFI价格再次拉升突破1.3万美元,单个代币的价格再次超越BTC。实际上,yearn.finance的治理代币YFI自7月中旬以来飙升了32,000%。此前在7月18日开始交易时,YFI仅为32美元。YFI的迅速增长无疑为持续火热的DeFi再加一把火。
数字基础设施是准公共品,具有非排他性、非竞争性和正外部性,同时又具有高度的技术性和创新性,必须依靠大众创新,竞争择优。 区块链应用宜先从数据存证、共享入手,这是务实的策略。考虑到技术前沿在公有链,应该支持公有链的研究。基于现实环境,联盟链或许是应用落地的较优选择。要加强国产密码算法的应用和创新发展,以保障我国区块链安全可控。