Primer lanzamiento | Análisis de eventos de vulnerabilidad de seguridad de contratos inteligentes de Sushiswap

El 28 de agosto, hora de Beijing, el equipo de investigación de seguridad de CertiK descubrió que había múltiples vulnerabilidades de seguridad en el contrato inteligente del proyecto sushiswap Cualquier operación, incluidas operaciones como tomar vacío en el caso. Al mismo tiempo, el contrato inteligente del proyecto también tiene una vulnerabilidad de ataque de reentrada grave, lo que hará que el código malicioso del atacante potencial se ejecute varias veces.

Pasos técnicos:

Primer lanzamiento | Baidu promueve la colección en línea de 246 museos en la cadena: Golden Finance News, recientemente, Baidu Super Chain y Baidu Encyclopedia, basada en tecnología blockchain para crear una "cadena de arte cultural" para promover la colección en línea de 246 museos en el Plano del Museo Baike sinuoso. Basado en la "Cadena de Arte de Museos Culturales", Baidu trabajará con los museos para promover la confirmación y el mantenimiento de los derechos de autor de las colecciones en línea y, al mismo tiempo, explorar métodos de comercio digital para los derechos de autor de las colecciones en línea, a fin de brindar servicios más completos y más derechos. e intereses para los museos cooperativos. Según los informes, este proyecto se realizará por etapas, en la primera fase se completará la colección en línea para confirmar la propiedad de la cadena y se emitirá un certificado de depósito de derechos de autor exclusivo para cada colección. Permita que cada usuario vea el certificado en las páginas de colección de PC y WAP del Proyecto del Museo de la Enciclopedia de Baidu. En el futuro, Baidu también promoverá la aplicación combinada de IA y tecnología blockchain en el campo cultural y museístico para garantizar que los datos en cadena coincidan con las colecciones, sentando las bases para transacciones digitales posteriores de derechos de autor de imágenes de colecciones. [2019/1/30]

MasterChief.sol:131 https://github.com/sushiswap/sushiswap/blob/master/contracts/MasterChef.sol

La tasa de votos electorales del súper nodo EOS debut dorado alcanzó el 6,49%: transmisión de datos de Golden Finance, a las 15:50 del 13 de junio, hora de Beijing, la tasa de votantes de EOS alcanzó el 6,49%. EOS Gravity Zone y EOS Canon, como dos equipos de campaña de súper nodo de China, ocuparon temporalmente el quinto y sexto lugar. Entre ellos, el número total de votos para EOS Gravity Zone fue de 9,03 millones, lo que representa el 2,96 %; el número total de votos para EOS Canon fue de 8,77 millones, lo que representa el 2,87 %. EOSflytomars, que había surgido antes, ocupó temporalmente el puesto 17, con un total de 6,3 millones de votos, lo que representa el 2,07%. Entre los 30 mejores equipos de campaña de supernodos, ocho equipos son de China. [2018/6/13]

En la línea 131 del contrato inteligente MasterChief.sol del contrato inteligente del proyecto sushiswap, el propietario del contrato inteligente puede tener la autoridad para establecer el valor de la variable del migrante en la figura anterior, y la configuración del valor puede determinar qué migrador código de contrato a configurar Efectuar las siguientes operaciones.

El debut de IMEOS, EOS Go, anuncia dos nuevas condiciones de registro: Según el informe de IMEOS, socio de Jinse Finance: Hoy, EOS Go anunció dos nuevas condiciones de registro en Steemit:

1. Plan para garantizar la seguridad: si el nodo candidato publica un artículo en Steemit para presentar el método y el plan de seguridad del nodo. El estándar del "método de seguridad" es una oportunidad para mostrar a los votantes de EOS el conocimiento de las mejores prácticas de seguridad y el plan de implementación de la organización;

2. Posición: describa la posición del nodo para compartir recompensas por inflación y/o distribuir dividendos a los poseedores de tokens EOS (los nodos candidatos se publican en Steemit). Se desarrollan principalmente los siguientes dos temas:

¿La organización proporcionará pagos a los votantes de tokens de EOS por algún motivo, incluidas las elecciones de BP y el asesoramiento de la comunidad?

¿Tiene la organización una política escrita de no pago de entradas? Si es así, proporcione un enlace. [2018/4/27]

MasterChief.sol: 136 https://github.com/sushiswap/sushiswap/blob/master/contracts/MasterChef.sol

Cuando se determina el valor de migrator, el código en la línea 142 en la figura anterior, migrator.migrate(lpToken) también se determina en consecuencia, y el método de migrar se llama a través de la interfaz de IMigratorChef, por lo que al llamar, migrar El código lógico en el método cambiará de acuerdo con el valor del migrador.

En resumen, si el propietario del contrato inteligente apunta el valor del migrador a un contrato inteligente que contiene un código de método de migración malicioso, entonces el propietario puede realizar cualquier operación maliciosa que desee e incluso puede vaciar todos los tokens en la cuenta.

Al mismo tiempo, después de ejecutar la línea de código migrator.migrate(lpToken) en la línea 142 de la figura anterior, el propietario del contrato inteligente también puede usar la vulnerabilidad de ataque de reentrada para volver a ejecutar el método de migración a partir de la línea 136 u otro métodos de contrato para realizar operaciones maliciosas.  

El creador del proyecto actual de sushiswap afirmó que el proyecto se ha agregado a la visualización del contrato de bloqueo de tiempo (timelock), es decir, la operación de cualquier propietario de contrato inteligente del proyecto de sushiswap tendrá un bloqueo de retraso de 48 horas.

Revelación de esta vulnerabilidad:

Los propietarios de contratos inteligentes no deben tener derechos ilimitados, y la gobernanza comunitaria debe utilizarse para limitar a los propietarios de contratos inteligentes y garantizar que no utilicen sus propias ventajas para realizar operaciones maliciosas;

El código del contrato inteligente debe someterse a una estricta verificación e inspección de seguridad antes de que pueda publicarse.

Tags：

ADA