北京时间8月28日,CertiK安全研究团队发现sushiswap项目智能合约中存在多个安全漏洞,该漏洞可能被智能合约拥有者利用,允许拥有者进行包括将智能合约账户内的代币在没有授权的情况下取空等操作在内的任意操作。同时该项目智能合约还存在严重的重入攻击漏洞,会导致潜在攻击者的恶意代码被执行多次。
技术步骤:
MasterChief.sol:131 https://github.com/sushiswap/sushiswap/blob/master/contracts/MasterChef.sol
天桥资本基金经理:大多数机构投资者仍对投资加密货币犹豫不决:金色财经报道,前白宫通讯主管兼 SkyBridge Capital 对冲基金经理 Anthony Scaramucci 在接受彭博社采访时表示,大多数机构投资者仍不愿投资加密和区块链技术。?加密货币由大约 10% 的金融服务社区主导。机构不在那里,任何告诉你机构采用这个领域的人都不是完全诚实的,或者他们看到了我没有看到的东西。Scaramucci 发表上述评论之际,许多主流银行和金融机构已开始向其客户申请并提供更多加密货币投资。这位对冲基金经理还预测,随着去中心化金融继续快速增长,其中一家大银行最终会购买 Coinbase 或类似的加密初创公司。[2021/9/27 17:10:31]
在sushiswap项目智能合约的MasterChief.sol智能合约的131行中,智能合约的拥有者可以有权限来设定上图中migrator变量的值,该值的设定可以决定由哪一个migrator合约的代码来进行后面的操作。
MasterChief.sol:136 https://github.com/sushiswap/sushiswap/blob/master/contracts/MasterChef.sol
当migrator的值被确定之后,上图中142行的代码,migrator.migrate(lpToken)也就被随之确定,由migrate的方法是通过IMigratorChef的接口来进行调用的,因此在调用的时候,migrate的方法中的逻辑代码会根据migrator值的不同而变化。
简而言之,如果智能合约拥有者将migrator的值指向一个包含恶意migrate方法代码的智能合约,那么该拥有者可以进行任何其想进行的恶意操作,甚至可能取空所有的账户内的代币。
同时,在上图142行中执行结束migrator.migrate(lpToken)这一行代码后,智能合约拥有者也可以利用重入攻击漏洞,再次重新执行从136行开始的migrate方法或者其他智能合约方法,进行恶意操作。
当前sushiswap项目创建者表示已经将该项目加入了时间锁定(timelock)合约的显示,即任意sushiswap项目智能合约拥有者的操作会有48小时的延迟锁定。
该漏洞的启示:
智能合约拥有者不应该拥有无限的权利,必须通过社区监管(governance)来限制智能合约拥有者并确保其不会利用自身优势进行恶意操作;
智能合约代码需要经过严格的安全验证和检查之后,才能够被允许公布。
金色财经 区块链8月29日讯 2014年8月28日,哈尔·芬尼(Hal Finney)终于摆脱肌萎缩性侧索硬化症(ALS)——也就是被人们俗称的“渐冻症”的困扰,因为他永远地离开了我们,今天也是哈尔·芬尼去世六周年纪念日,所以在此就让金色财经和大家一起来回顾和纪念下这位比特币历史中最重要的人物之一吧。
8月24日美股再次大幅上涨,受到此利好消息,比特币在11700美元获得有效的支撑,有止跌转涨的趋势。但12000美元阻力点抛压严重,从目前技术形态来看,短期难有突破。好在比特币大方向依然向上,有利于稳健型投资者在比特币回踩下方支撑时,可以分批进场加仓或者做多……? 接下来行情走势,我觉得牛市行情还在,会持续到年底或明年初。
加密货币基金管理公司灰度投资的一份新报告认为,目前的比特币市场结构“与2016年初开始历史性牛市之前的结构相似。” 灰度预测,随着通胀加速,比特币的需求将大幅增长,这突显出对一种稀缺货币商品的需求,从而支撑着比特币的使用案例。 这份报告指出,在交易所持有的比特币数量处于历史最低水平之际,人们对加密的兴趣日益浓厚,长期持有比特币多于短期投机。
我在此前的一篇文章中提出,目前美国的数字金融发展的缓慢正在给瑞士提供发展的时间。瑞士的数字金融生态建设由于发展目标明确,执行策略正确和监管的支持,所以它的发展处在非常领先的地位。如果瑞士的数字金融生态一旦建立起来,并能吸引其它国家的金融机构参与,由于数字金融的网络效应,这样的金融应用就不可能迁移到别的金融市场基础设施之上。
金色财经 区块链8月24日讯 波卡(Polkadot)是Web3基金会的旗舰项目,旨在实现一种中心化Web理念,使用户(而不是互联网垄断者)控制应用程序、服务和机构。该项目于2017年由区块链行业里多位知名人士启动,其中甚至包括以太坊联合创始人加文·伍德(Gavin Wood)。
8月24日下午,人民网舆情数据中心/人民在线与杭州趣链科技有限公司签署战略合作协议,并宣布人民链全域数据治理共享与应用平台上线。 据悉,“人民链”深度运用大数据、区块链、AI技术,搭建“一链三网”数据治理共享网络和“超级ID”数字身份体系,融合全域数据信息,构建出智慧型信誉评价网络。