北京时间11月12日,CertiK安全研究团队发现DeFi项目text.finance智能合约代码部分存在安全漏洞。
分析之前,先考考大家的眼力,看看下图里面的文字说了什么。
如果看不清,不妨点击图片后把屏幕亮度调至最高。
有的时候,某些不想让你看到的因素,正是通过排版或者这样的方式,被刻意隐藏了起来。
接下来说说该项目中存在的两处漏洞。大家不妨在阅读文章的时候注意一下图中[function函数]的位置。
第一弹:项目拥有者可通过第一处漏洞,将指定数目代币转移到任意地址。
第二弹:项目拥有者可通过第二处漏洞,将任意投资者的流动性池中的资产强制转移到项目拥有者的地址中。
textMiner.sol
NFT市场Blur发布Token代码符号,或暗示将推出Token:金色财经报道,NFT市场Blur在社交媒体上发布“$BLUR”字样动态,并附言提示用户打开推文推送通知,或为暗示将推出Token。
此前报道,3月29日,专注于优化专业交易者体验的NFT市场Blur宣布完成1100万美元种子轮融资,Paradigm领投。[2022/10/19 17:31:35]
部署地址:
https://etherscan.io/address/0x9858728de38c914c2ea32484a113b6628d984a82#code
1. 漏洞一
项目拥有者在textMiner.sol智能合约1000行处实现了withUpdates()函数。该函数的的作用是可以将任意数量的为devaddr地址铸造任意数量的代币。而通过查看图2中devaddr和项目拥有者owner的地址值,可以发现两者相同,因此项目拥有者可以通过该漏洞为devaddr地址铸造任意数目代币。
SDOG社区即将在持币地址达20000时推出信用卡服务:据官方消息,按照SDOG HoldMaps规划,SDOG即将在Horder人数到达20000时推出SDOG信用卡服务。
另根据以太坊链上数据显示,SHIB个人持仓最大的用户地址于近期进场增持SDOG,最大持仓3000亿枚。[2021/11/30 12:41:33]
同时,当前的devaddr地址拥有者可以通过图3的dev()函数将devaddr地址值更换到另外一个地址,因此最终项目拥有者可以更换将devaddr地址值更换的方法,向任意地址中铸造任意数目代币。
虽然项目拥有者将图1中的withUpdates()函数设置为不允许智能合约外部调用,但是却有意地在图4中919行实现了允许被外部调用的add()函数,然后通过921行代码调用withUpdates()函数,从而实现向devaddr地址铸造1000000000000000000000000000000数量代币。
图1:第1000行中的withUpdates()函数
图2:devaddr地址以及项目拥有者owner地址
图3:dev()函数
图4:add()函数
2. 漏洞二
图5:emergencyWithdraw()函数
项目拥有者可以通过调用图5中emergencyWithdraw()函数,将某一个特定地址投资者的某一个流动性池中的流动性资产全部取出,并转移到项目拥有者的地址中。
该emergencyWithdraw()函数是一个基于正确的emergencyWithdraw()函数。因此就算审视合约者不恶意揣测,也很难说项目方不是恶意改写,并添加了该漏洞。
从下图6的对比中可以发现,Sushiswap允许投资者通过调用emergencyWithdraw()函数,紧急取出属于自己的流动性资产,而在text.finance中却仅允许项目拥有者来调用该函数,同时允许项目拥有者取出属于任何投资者的流动性资产。
图6:text.finance和sushiswap项目中emergencyWithdraw()函数实现对比
CertiK安全研究团队认为当投资者在对DeFi项目进行投资时,不仅需要对智能合约常见的代码有所了解,更需要谨慎地审视具体代码的实现逻辑。否则极易掉入类似该项目中的恶意漏洞陷阱当中。
对于非技术背景的投资者,更需要了解项目是否经过严谨的技术审计。从Text.finance项目的恶意漏洞中可以看出,盲目投资一个没有经过严格审计的项目,或引发极大风险,并造成难以估量的损失。
一直被我们忽视的不可承受之重:EOS为什么长期低迷 关于Blockone,应该近期会有一个新的进展公布,一切以官网为主,就不多说了。今天给一些我从来没说过,但是长期以来又被所有人忽视的数据。 1)这一条是来自慢雾的数据,2020年,ETH DApp被黑事件33起,损失金额超过3亿6千万美金,市值占比0.7%。
数据显示,机构大量囤积了12000-15000美元之间的BTC,而根据Whalemap的分析师称,这是一个积极趋势,因为机构和鲸鱼通常会考虑使用长期投资策略来囤积BTC。 正如Cointelegraph先前报道的那样,大户正在囤积BTC,而不是散户投资者在囤积。这也解释了主流对BTC的兴趣有所减弱。
OKEx暂停提币危机近期可能会看到解决的曙光。 OKEx数据显示,OKEx平台币OKB从11月18日晚开始自4.8 USDT开始一路上涨,19日上午涨至5.738 USDT,涨幅高达19.5%。 OKB之所以大涨19%,是因为有消息称OKEx创始人徐明星已经恢复自由,OKEx暂停提币危机或有望得到解决。
通过为用户提供开放的、无审查的金融服务,DeFi协议管理的资产(也称总价值锁定(TVL))飙升。 DeFiPulse Uniswap是一个通过自动做市商(AMM)工作的去中心化交易所,是所有DeFi协议中通过TVL最成功的。在Uniswap这样的去中心化交易所("DEXes"),流动性提供者或LP向特定的流动性池提供资金。
据美国媒体报道, Google Pay产品有了重大的升级。Google Pay开始同花旗银行等十一家银行合作,为Google的用户提供银行服务,包括为用户开设支付和储蓄账户。 Google Pay于2015年成立。迄今为止,它在30个国家运行,拥有1亿5千万用户。 Google Pay希望通过最近的这次战略升级,能将其支付业务发展到一个新的台阶。
在加密资产市场上,如果要问近期哪一家机构最受瞩目,可能很多人都会选择灰度基金。灰度资产管理公司(Grayscale Investments)是数字货币集团DCG(Digital Currency Group)于2013年设立的子公司。