链资讯 链资讯
Ctrl+D收藏链资讯

首发 | CertiK:DeFi项目Walletreum内部操作攻击事件分析

作者:

时间:

马克思曾在资本论中引用一句名言:“如果有10%的利润,它就保证到处被使用;

有20%的利润,它就活跃起来;

有50%的利润,它就铤而走险;

为了100%的利润,它就敢践踏一切人间法律;

有300%的利润,它就敢犯任何罪行,甚至绞首的危险。”

对于区块链来说,去中心化是一切的本质,更是区块链世界和生态的标杆。

无论是什么形式的去中心化,它的本质实际上指的都是权力从顶层中心化机构到基层个体的下沉。

这个下沉趋势随着世界的发展不断的惠及每一个个体。区块链所言的“去中心化”同样是随着经济和科技发展,迎合社会发展本质上的一类。铸币权便是其中之一。

这里的铸币权指的是将其下放至专业及安全的团队或个体手中,通过健康的社区治理,达到实现区块链领域愿景的目的。

然而如同早年间的铸币行为在传统金融中屡禁不绝,区块链领域内的恶意铸币行为也是无休无止。

一个项目其违背去中心化的本质,通过拥有者的极大权限进行恶意铸币,不仅仅损害了项目的良势发展,更是损害了每一位投资者与项目支持者的切身利益。

Horizon Kinetics联合创始人建议通过投资加密货币对抗货币贬值:对冲基金和投资管理公司Horizon Kinetics建议投资者在日益严峻的全球经济挑战中寻求对加密资产的敞口。Horizon联合创始人Peter Doyle在接受英国《金融时报》采访时警告称,新冠病大流行和债务增长将为世界经济带来拐点,他预测,“新冠病大流行后没有回头路,全球出现债务问题,这意味着要么出现违约,要么货币贬值。”Horizon的Paradigm基金在2016年分配1%的份额投资灰度比特币信托基金,目前该投资占该基金投资组合的10%。Doyle断言,人们应该对这类资产有敞口。他还强调比特币的供应上限,因为人们担心比特币贬值。“最好的长期投资者往往投资组合集中,持有资产周转率较低,因为他们让自己的公司成长并获得复合回报。”(Cointelegraph)[2021/7/28 1:20:13]

北京时间11月16日,CertiK安全研究团队发现DeFi项目Walletreum被项目团队通过内部操作,恶意铸造5亿个WALT代币。截止11月16日早5时,恶意铸造的代币量已约合近190万人民币。

SUSHI突破13美元关口 日内涨幅为12.32%:火币全球站数据显示,SUSHI短线上涨,突破13美元关口,现报13.0205美元,日内涨幅达到12.32%,行情波动较大,请做好风险控制。[2021/2/2 18:40:10]

CertiK安全研究团队通过分析其智能合约代码,发现其智能合约代码中心化风险极高,存在安全隐患,项目拥有者拥有权限向任意地址铸造任意数目的代币。

完整技术分析如下:

项目拥有者地址:0xa5e552e3d643cc89f3b1ceccfd6f42c5c1aee775

图一:内部操作攻击交易信息

图一是Walletreum项目中WALTToken智能合约被内部操作,铸造额外5亿个WALT代币的交易信息。

该交易哈希值为0xc0f3b0576f18a714d78b822754489d4201c9e36fb0ce4b2f53a93217564710e5。

CertiK天网系统 (Skynet) 检测到区块1126401出现异常交易信息后,立刻向CertiK安全研究团队发出警示。

CertiK安全研究团队在对该项目智能合约进行快速分析后,认为该项目为当前一典型的由于智能合约高中心化而导致的攻击。

图二:WALTToken智能合约mint()函数

 图二为遭受内部操作攻击智能合约中被恶意调用的函数mint()。

从666行的代码实现中可以看出,任何拥有minter权限、可以通过onlyMinter修饰符限制的外部调用者均可以调用该函数。

该函数的作用是通过667行代码向任意账户(account)铸造任意数目的代币(amount)。

通过图三中619行onlyMinter修饰符的逻辑实现,以及615行构造函数中给与智能合约部署者minter权限的逻辑实现,智能合约部署者拥有了可以执行图二中mint函数的权限。

图三:onlyMinter修饰符以及给与项目管理者minter权限的构造函数

图四:项目拥有者拥有minter权限

查询项目拥有者是否拥有minter权限的结果如图四所示。

至此,项目拥有者拥有执行mint函数的权利,最终恶意铸造了5亿个WALT代币,致使项目投资者遭受损失。

CertiK安全团队通过研究认为,目前大多数DeFi项目中均存在类似于Walletreum项目的风险。

该类mint函数以及minter权限的实现表明了当前DeFi项目中项目拥有者权限过大,中心化风险较高。

这会导致内部操作等情况的发生完全依赖于项目拥有者个人或者团队的“个人素质”与选择。

CertiK团队此前分析过同样存在中心化风险的Mercurity.finance项目,而类似此次Walletreum项目被内部操作攻击的情况以后想必也依旧会发生。

在此,CertiK团队发出建议:

如要防范此类内部操作,应当注重提高社区治理的程度,并在项目实现上尽可能降低中心化权限,对任意重要操作均需要通过社区投票或者运用Timelock延时限制机制。

标签:INTMINMINTTERPAINT币gemini直播时间MintMe.com CoinSafeJupiter

比特币交易所热门资讯
晚间必读5篇 | 从UNI停矿 看有效市场假说在加密市场的应用

1.一文了解波卡平行链拍卖 进入到2020年底,加密货币领域里的另一场大戏——波卡平行链插槽竞拍,即将拉开帷幕。平行链作为波卡生态中至关重要的角色,平行链插槽的拍卖一直备受关注。对于波卡而言:平行链插槽拍卖是波卡路线图中的重要里程碑,意味着波卡的跨链愿景真正开始落地。

持续焕新 CyberVein全球版官网今日重磅上线

致CVT的全球用户与社区成员: 感谢大家一直以来对CyberVein的关注与支持!为适应全球发展的需要,扩大品牌影响力,发挥网络对外宣传和沟通交流的作用。CyberVein官网全球版(https://www.cybervein.org)现已全面上线。

本月以太坊十大DApp用户量突破100万

在过去的 30 天里,以太坊上十大最受欢迎的 DApp 共有超过 100 万活跃用户。 根据分析平台 DappRadar 的数据,在过去的 30 天里,基于以太坊的去中心化应用吸引了超过 100 万活跃用户。这一里程碑的到来正值人们对 DeFi 的兴趣重获新生,在 11 月的前半个月,用户数量增长了 11%。

11.17午间行情:比特币携手美股创出新高牛市或步入急速上攻段

文章系金色财经专栏作者炊事团团长供稿,发表言论仅代表其个人观点,仅供学习交流!金色盘面不会主动提供任何交易指导,亦不会收取任何费用指导交易,请读者仔细甄别,谨防上当。? 就在昨夜,道琼斯工业指数上涨470点,接近30000点整数关口,拉出历史新高。比特币与美股发生同步共振突破本月13日刚刚形成的高点16477美金,新的高点在16880美金建立。

金色观察 | 比特币站上18000美元暗含怎样的市场信号?

11月18日12:52,火币全球站数据显示,BTC短线上涨,突破18400美元关口。随后“比特币站上18000美元”迅速登上微博热搜榜。不过,13:47比特币便迅速跌破17400美元。同时,据合约帝行情统计报告显示,30分钟内合约市场全网总计爆仓788万美元,其中BTC爆仓781万美元。不过截止发稿,比特币价格暂时稳定在17800美元附近。

金色观察 | 一文了解波卡平行链拍卖

作为加密生态中的重要一项,波卡在今年的进展备受关注。 进入到2020年底,加密货币领域里的另一场大戏——波卡平行链插槽竞拍,即将拉开帷幕。平行链作为波卡生态中至关重要的角色,平行链插槽的拍卖一直备受关注。对于波卡而言:平行链插槽拍卖是波卡路线图中的重要里程碑,意味着波卡的跨链愿景真正开始落地。