链资讯 链资讯
Ctrl+D收藏链资讯
首页 > SAND > 正文

首发 | Mercurity.finance智能合约安全漏洞分析

作者:

时间:

今年美国大选虽说有了广泛意义上的尘埃落定,但竞选结果并未明确。

如今拜登团队宣布胜选,美国媒体纷纷宣布拜登当选下届美国总统。而另一方面,川普拒绝接受败选结果,他持续进行计票,并宣称要采取法律行动。

造成如今这个混乱结果的首要原因在于美国没有设立独立的对大选事务具有权力的权威性的选举委员会,在默认情况下,是新闻机构承担了这个角色。假如川普获得过大的权力,控制了大多新闻机构,营造虚假选票,结果尚未可知。

这就意味着某种程度上,可以说是极尽中心化的“推特治国”后的又一“媒体选举”。

从选举,到互联网,到区块链,2020年,中心化不再是权威的体现,而是“独断”、“专权”的代名词。

北京时间11月9日,CertiK安全研究团队发现DeFi项目Mercurity.finance智能合约代码部分存在中心化风险。

项目拥有者拥有过大权限,可以进行任意数目的铸币,并为给定账户提供任意数目的奖励。

P2E游戏Axie Infinity自2021年2月以来首次周收入低于100万美元:金色财经报道,基于区块链的游戏Axie Infinity上周仅带来了988,400美元的收入——自2021年2月以来,该游戏的第一周收入不到100万美元。自2021年11月以来,Axie Infinity经历了稳步下降。

此前报道,由于Axie游戏内代币的发行和销毁机制不平衡,SkyMavis无法继续快速增长。(theblockcrypto)[2022/6/7 4:06:47]

技术步骤分析如下:

ERC20Token.sol

代码地址:

https://github.com/MER-DAO/MEE-core/blob/main/contracts/tokens/ERC20Token.sol

部署地址:

https://etherscan.io/address/0xe1b583dc66e0a24fd9af2dc665f6f5e48978e106#code

美股三大指数集体高开,标普500指数涨0.51%:美股三大指数集体高开,道指涨0.64%,纳指涨0.46%,标普500指数涨0.51%。美股区块链板块盘初走高,Bit Digital(BTBT.O)涨8.71%,比特矿业(BTCM.N)涨8.49%,Riot Blockchain(RIOT.O)涨6.81%,Marathon Patent(MARA.O)涨5.8%,嘉楠科技(CAN.O)涨4.43%。[2021/10/15 20:32:25]

图一: ERC20Token智能合约构造函数

图二:onlyIssuer修饰词

爱沙尼亚中央银行谈论数字欧元实验结果:每秒处理超过30万笔支付:爱沙尼亚中央银行与欧洲央行以及西班牙、德国、意大利、希腊、爱尔兰、拉脱维亚和荷兰的中央银行合作进行了一项研究实验,以评估一种可能的数字欧元技术解决方案。爱沙尼亚中央银行表示,基于区块链的数字欧元克服了早期的区块链问题,例如低性能和高能源成本。该测试每秒处理超过300,000笔同时支付,并且款项在不到两秒内到达收款人。估计的碳足迹小于目前使用的卡支付系统的碳足迹。(Fin extra)[2021/7/28 1:19:49]

图三: 具有铸币方法的issue函数

如图一所示,项目拥有者在ERC20Token.sol智能合约中的构造函数可以将自身设置为issuer身份。由于在智能合约部署时,其构造函数会被自动执行,因此项目拥有者会自动成为issuer。

通过图二中显示的onlyIssuer修饰词的限制,任意拥有issuer身份的外部调用者将可以执行任意被onlyIssuer修饰词修饰的函数。

因此,拥有issuer身份的项目拥有者可以执行图三中具有铸币方法的issue函数,从而可以为任意账户铸造任意数目的代币。

除此之外,该项目还存在一个允许项目拥有者提供代币奖励的后门。该后门存在与AwardContract.sol智能合约中。

https://github.com/MER-DAO/MEE-core/blob/main/contracts/AwardContract.sol

https://etherscan.io/address/0x8Ea43ce113456f45defd0E27e809d719b9CA2362#code

图四:AwardContract智能合约构造函数

图五:onlyGovernor修饰词

图六:addFreeAward智能合约函数

当AwardContract.sol被项目拥有者部署到区块链上时,AwardContract合约的构造函数会被自动执行,也就意味着图四中43行代码被自动执行后,项目拥有者会自动被赋予governor身份。

拥有governor身份的外部调用者可以类似的执行任意被onlyGovernor修饰词修饰的智能合约函数,例如图六中所示addFreeAward函数。

由于所有外部调用者都可以通过调用图七中withdraw函数来将属于自己的奖励取出,因此当governor身份的外部调用者为某一个账户(假设为A)添加了某一数量的奖励后,A账户可以对该函数进行调用,并通过246行的判断条件检查后,通过在281行调用safeIssue()函数来取出被添加的奖励。

图7:withdraw智能合约函数

综上分析,Mercurity.finance项目中智能合约存在的后门漏洞均来自于项目拥有者权限过大。在该类中心化治理机制中,项目拥有者得到了可以随时获利或者摧毁项目经济系统的权利。

CertiK安全研究团队建议Mercurity.finance更新项目中采用的治理系统,引入社区管理的机制。

CertiK在此提醒广大用户:

1. 合约代码需要经过严格的安全验证和审计才可被允许公布。

2. 投资者在投资采用中心化治理机制的项目时需衡量风险,谨慎投资。

标签:KEN以太坊BSNAPPJeToken以太坊价格bsn币什么时候上线Mirrored Apple

SAND热门资讯
韩国拟议新法案要求加密公司披露用户身份

根据韩国计划修改的新法案,该国的加密公司必须披露用户的身份。 根据韩国金融服务委员会(FSC)本周发布的一份新闻稿,其正在寻求修正《报告和使用特定金融交易信息的法案》以防范等行为,具体措施包括强制要求国内虚拟资产服务提供商(VASP)上报其客户的姓名。

比特币避险 避了什么险?凭什么避险?管道价值概述

美国大选基本落下帷幕,拜登当选,特朗普出局。这里说“基本”,是因为12月14日还有一次投票,或许还有一些变数。本文要讲的是美国大选,折射出了比特币的避险属性。 很多人都在说比特币避险,但避了什么险,很多朋友并不知道。以美国大选期间比特币的走势为例。

技术周刊|以太坊2.0发布日期定为12月1日

本周技术类新闻较少,所以本技术周刊包含以太坊、波卡、Hyperledger、BSN四个网络的技术类新闻。 3.4万ETH参与以太坊2.0存款合约质押,距主网启动还需49万枚 11月6日,数据显示,34213枚ETH参与以太坊2.0存款合约质押。以太坊2.0主网启动需满足524288枚ETH参与质押,并且验证者达到16384个。

App vs Dapp 互联网巨头真正的挑战才刚刚开始

2020年11月3日,上海证券交易所决定蚂蚁集团暂缓科创板上市。上交所称是由于金融监管部门的监管约谈和近期金融科技监管环境的变化,可能对蚂蚁集团业务结构和盈利模式产生重大影响,为了保护投资者合法权益,充分透明准确披露信息,切实维护市场公平公正的原则而作出的决定。 监管环境的变化可能会让作为互联网巨头的蚂蚁集团放慢创新的步伐、更加合规。

金色观察 | 云南再发新政策 加速推动区块链场景应用

当前,云南正抢抓机遇、主动作为,以应用试验换产业,积极探索“区块链+”特色发展路径。 11月12日,云南省人民政府办公厅印发《云南省进一步优化营商环境更好服务市场主体28条措施》的通知。 文件中两次提到区块链,支持区块链技术的应用落地。 文件中第19条措施指出,加强新业态应用场景推广。

Gavin 名言集锦:“波卡有了平行链后可以达到 100 万 TPS”

互联网已经变成这样一个地方:你在这里越来越难说出自己想说的话、发表自己想发表的内容、去为巨大的社会问题发声。 自由的、去中心化的互联网络,在这里用户掌控自己的数据、自己的身份信息,某种意义上说就是用户掌握了主动权!这是我们的使命。 区块链、共识系统其实是在解决信任问题,信任其实最昂贵的部分,掌握了信任可以让你坐着数钱,在市场上有不可撼动的地位。