北京时间8月31日和9月1日,CertiK安全研究团队发现Sushiswap仿盘的两个项目YUNo Finance (YUNO)与KIMCHI.finance (KIMCHI),其智能合约均存在漏洞。如果利用该漏洞,智能合约拥有者可以无限制地增发项目对应的代币数目,导致项目金融进度通胀并最终崩溃。
以Yuno项目中智能合约为例,CertiK安全研究团队对于该无限增发漏洞进行了详细分析,技术细节如下:
在Yuno项目中的MasterChef.sol智能合约第1354行中,dev方法可以允许当前拥有devaddr身份的智能合约调用者,将devaddr身份转移给另外一个地址。
粉丝代币公司Socios首席执行官兼创始人被指控操纵价格:3月13日消息,粉丝代币公司Socios首席执行官兼创始人Alexandre Dreyfus被指控扣留顾问的款项,以保持Socios社区使用的加密货币Chiliz (CHZ) 的价格稳定。Dreyfus称,购买Chiliz的投资者可能会因为顾问清算货币而损失现金。过去没有对某些顾问按时支付报酬,目前已解决该问题。(Bitcoinist)[2022/3/14 13:54:23]
截图出自:https://etherscan.io/address/0x450f143f1a8650fff968d890814bd5884bdc8f1d#code
下图中可以看到在智能合约1282行的mint方法是由修饰器onlyOwner进行限制,修饰器onlyOwner决定了只能是智能合约拥有者来执行这个合约。
Lido新增支持Polygon,用户可质押MATIC获得stMATIC:12月6日消息,以太坊2.0质押流动性解决方案Lido新增支持Polygon网络,用户可通过质押MATIC得到流动性质押代币stMATIC,以此将流动性质押引入Polygon并将stMATIC集成到Polygon的DeFi生态系统及其他领域。据悉,Polygon是Lido继ETH、Terra、Solana后支持的第4条公链。[2021/12/6 12:54:22]
以上三截图均出自:https://etherscan.io/address/0x450f143f1a8650fff968d890814bd5884bdc8f1d#code
Bitpanda以41亿美元估值完成2.63亿美元C轮融资,Valar Ventures领投:加密交易平台Bitpanda以41亿美元估值完成2.63亿美元C轮融资,Peter Thiel的Valar Ventures领投,LeadBlock Partners、Jump Capital、Alan Howard和REDO Ventures参投。首席执行官Demuth在接受采访时表示,资金将用于积极扩张,并表示他们计划在欧洲加倍投入,进军意大利、法国和西班牙等市场。 Bitpanda还将利用这笔资金推进其白标产品(称为Bitpanda White Label),该产品允许银行和金融科技公司使用其技术提供加密货币和其他交易服务。 (Sifted)
此前消息,据悉,3 月份,Bitpanda以12亿美元估值完成1.7亿美元B轮融资。5月份,Bitpanda获1000万欧元B轮扩展轮融资。[2021/8/17 22:19:22]
拥有devaddr身份的调用者,当其身份恰好同时为owner身份的时候,可以通过调用MasterChef.sol智能合约1282行的mint方法,来无限制的增发代币。1282行的mint方法会继续调用1130行的mint方法,并继续由1130行mint方法调用1044行的_mint方法,并最终完成代币增发的操作。
Kimichi项目智能合约中存在的无限增发漏洞与以上漏洞基本相同,因此在这里不进行重复叙述。
如果owner和devaddr的地址如果相同,那么在外部没有对智能合约拥有者限制的情况下,智能合约拥有者拥有权利增发任意数量的代币,这将会将投资者置于风险之中。那么Yuno和Kimichi这两个项目中的devaddr和owner是否为同一人呢?是否有其他外部制约机制可以限制这两个项目的智能合约拥有者呢?
下图为Yuno项目MasterChef.sol智能合约中拥有devaddr和owner身份的地址(截止北京时间9月1日晚11点)。
截图出自:https://etherscan.io/address/0x9dd5b5c71842a4fd51533532e5470298bfa398fd#readContract
下图为Kimichi项目中KimchiChef.sol智能合约中拥有devaddr和owner身份的地址(截止北京时间9月1日晚11点)。
从上两图中可以看到,Yuno项目中拥有devaddr和owner身份的地址为同一个,因此其智能合约拥有者有权利进行无限制的代币增发。而Kimichi项目中拥有devaddr和owner身份不同,但由于devaddr的身份可以进行转移,因此也存在一定的风险。
为了确保无限增发漏洞不会被触发,对于Yuno和Kimichi两个项目的智能合约拥有者必须由外部进行限制。当前已经实施的限制条件与Sushiswap项目一致,即对任何由智能合约拥有者进行的智能合约操作,均有48小时的延迟。任何来自智能合约拥有者的操作都会被所有投资者观察到,并有48小时进行应对操作。
当前DeFi以及相关Farming项目异常火爆,由于区块链项目对于项目代码公开性有要求,因此上线新项目门槛极低。如果盲目借鉴其他项目,任意漏洞都可能被引入到项目中。因此在项目上线之前,应该对项目进行严格的安全审计。
从投资者角度,当前Farming项目动辄百分之几千的回报率,极易促使投资者在没有对项目本身有足够了解的情况下进行盲目投资。例如SushiSwap,Yuno以及Kimchi三个项目均没有经过严谨的安全验证就快速上线。投资者可能会被巨大的利益回报迷惑,将宝贵资金投入到有极大风险的智能合约中。
日前,“数字人民币”再次成为舆论的焦点。8月29日,有部分用户在建设银行App中发现,其增加了“数字钱包充值”以及“数字货币”两个子菜单。数字货币界面显示,用户创建数字货币后,有望完成付款、收款、扫一扫与转款等操作。这一消息瞬间引发市场热议:数字货币已经正式上线了? 答案是否定的。
随着DeFi行业推动了当前加密行业的繁荣,TVL几乎成为一个标志性的指标。新闻标题上显示着令人惊叹的数字增长:40亿美元,60亿美元,70亿美元,感觉每周都有新的记录被打破。 该指标是用来强调DeFi领域的增长,但它可能严重夸大了增长速度。在牛市中,它夸大了资产的增长,而在熊市中则夸大了资产外流。
今天早上,DeFi项目HotdogSwap在上线后的用短短几个小时内,为我们上演了一场“高台跳水”。 图自uniswap.info 如上图,其代币HOTDOG价格先是在上线后的7小时内飙升至6200美元以上,又用了不到3小时跌至目前的0.017美元。据推特网友lowstrife,HOTDOG从4000美元跌至1美元,用时不到5分钟。
金色财经报道,今日雄安官方微信“雄安发布”发布了中国(雄安新区)跨境电子商务综合试验区建设实施方案,此方案通知早于7月7日由河北省人民政府办公厅印发。
本教程仅为DApp在TokenPocket钱包端的操作指南,不代表TokenPocket的投资建议。投资有风险,您须充分认识风险,并自行作出投资决策。 项目简介: Carrot是一项实验性协议,以可编程货币和治理方面最激动人心的创新为基础,最初的目标是每CRT 1美元,它采用了一种公平的分配机制来激励关键的社区成员积极掌握治理。
随着 DeFi 市场的持续火爆,一些美国 SEC 专员接受了采访并表达了他们对于去中心化金融(DeFi)的看法。 目前 DeFi 的热潮并未在美国国会层面引起太大关注和轰动。
链资讯