Primer lanzamiento | El contrato inteligente basado en el proyecto DeFi tiene una laguna, ¿qué pasó?

"Nunca es demasiado tarde para arreglarlo" es un dicho que se cumple la mayor parte del tiempo en la vida. Sin embargo, de cara a la seguridad de la red, una brecha puede causar pérdidas irreparables.

Ser descubierto antes de que los problemas de seguridad causen pérdidas irreparables, o estar completamente preparado desde el principio, es la primera prioridad de la seguridad como practicante de blockchain.

En la tarde del 14 de agosto, hora de Beijing, el equipo de tecnología de seguridad de CertiK descubrió que el proyecto de agricultura anónima de DeFi, Based, anunció oficialmente que un atacante había congelado el Pool 1 llamando a una función en el contrato inteligente de Based, y anunció que volvería a implementar su Pool. Uno.

LBank Blue Shell lanzará CSPR (Casper) a las 20:00 el 3 de mayo y abrirá el comercio de USDT: según el anuncio oficial, LBank Blue Shell lanzará CSPR (Casper) a las 20:00 el 3 de mayo, abrirá el comercio de USDT y abrirá recargar al mismo tiempo Según los datos, la red Casper es la primera cadena de bloques de prueba de participación en tiempo real basada en la especificación CasperCBC. Casper está diseñado para acelerar la adopción de la tecnología blockchain por parte de empresas y desarrolladores en la actualidad, al tiempo que garantiza su alto rendimiento en el futuro a medida que evolucionan las necesidades de los participantes de la red. [2021/5/3 21:19:51]

El tweet oficial indicó que los piratas informáticos intentaron congelar "Pool1" de forma permanente, pero el intento fracasó. Y "Pool1" continuará según lo planeado.

Primer lanzamiento | El informe financiero de Baidu refleja que la plataforma blockchain BaaS se ha convertido en un nuevo enfoque estratégico: Jinse Finance informó que el 28 de febrero de 2020, Baidu (código bursátil BAIDU) anunció su informe financiero, que describía por separado el progreso relacionado con blockchain BaaS Se espera que la plataforma blockchain basada en Baidu Smart Cloud se convierta en un nuevo motor de crecimiento en la dirección de la innovación tecnológica. En términos de servicios de IA, Baidu ha llegado a una cooperación con el Banco de Desarrollo de Shanghai Pudong para construir conjuntamente una alianza de cadena de bloques y realizar la verificación de información entre bancos en la plataforma Baidu Blockchain Service (BaaS). [2020/2/28]

Al analizar el contrato inteligente, CertiK cree que la congelación del grupo n. ° 1 del proyecto Basado fue un accidente causado por una laguna en el contrato inteligente.

Primer lanzamiento | Liu Yao: Baidu Blockchain lanzó la plataforma Tianlian para potenciar los negocios en cadena: el 20 de diciembre, la "Conferencia de Desarrolladores de Blockchain de China 2019" organizada por CSDN se llevó a cabo en Beijing el 20 de diciembre. Liu Yao, jefe de productos de cadena de bloques de Baidu Smart Cloud, pronunció un discurso sobre el tema "La cadena de bloques empresarial potencia el aterrizaje de la innovación industrial". Señaló que 2020 será el primer año para que las empresas de cadena de bloques aterricen. Con la implementación de la industria de la cadena de bloques , Baidu actualizó la cadena de bloques a una estrategia basada en plataforma y lanzó la plataforma Tianlian que se basa en Baidu Smart Cloud, que potenciará la innovación comercial en cadena de 360. [2019/12/20]

El equipo de la base implementó el contrato inteligente de grupo n.º 1 y la dirección de implementación es 0x77caF750cC58C148D47fD52DdDe43575AA179d1f.

Primer lanzamiento | Las transferencias anteriores de 18,000 BTC fueron organizadas internamente por el intercambio Bithumb: el sistema de monitoreo en cadena de Beijing Lianan encontró que una transferencia de 18,000 BTC ocurrió a las 17:07 el 24 de octubre, hora de Beijing. Después del análisis, en realidad fue el trabajo de acabado interno del intercambio Bithumb, que empaqueta una gran cantidad de UTXO de 100 a 200 BTC en 18 UTXO de 1000 BTC y los transfiere a su dirección interna. Por lo general, la clasificación de UTXO de varios "valores nominales" a nivel de número entero es una operación regular de intercambio. [2019/10/24]

Basado declara oficialmente al propietario del contrato inteligente llamando a la función renunciar a la propiedad en el contrato inteligente, pero no inicializa el contrato inteligente.

Debido a que la función de inicialización en el contrato inteligente Basado está configurada incorrectamente para llamarse externamente, durante el proceso de inicialización del contrato inteligente, un atacante externo inicializa el contrato inteligente del grupo No. 1 con un valor incorrecto.

La inicialización incorrecta hizo que el oficial de base no pudiera reiniciar el contrato inteligente del grupo n. ° 1, por lo que el grupo n. ° 1 se congeló y no se pudo completar ninguna promesa.

Basado oficialmente decidió abandonar el contrato inteligente y volver a implementar el contrato inteligente de grupo n. ° 1.  

1. Después de implementar el contrato inteligente, el equipo basado no llamó a la función de inicialización en la siguiente figura a tiempo para inicializar la configuración del contrato inteligente:

2. La persona que llama externa aprovechó la diferencia de tiempo entre la implementación y la inicialización del contrato inteligente por parte del equipo basado, y aprovechó la oportunidad para llamar a la función de inicialización en la línea 671 en la figura a continuación, cuyo rango de llamada se configuró incorrectamente para inicializar el contrato inteligente del grupo No. 1 primero:

3. Las dos funciones de inicialización de la figura anterior se modifican con el modificador del inicializador. Según el código, si se llama a una de las funciones de inicialización, no se puede llamar a la otra función de inicialización. El código modificador del inicializador se muestra en la siguiente figura, lo que hizo que la Base oficial perdiera la oportunidad de inicializar la función:

4. Según los factores anteriores, el contrato inteligente basado no se puede inicializar oficialmente correctamente, por lo que no se puede realizar ningún compromiso.

Registro de transacciones de compromiso fallido:

El incidente fue causado esencialmente por una vulnerabilidad en el contrato inteligente, pero si el equipo de la base notó esta vulnerabilidad temprano e inicializó el contrato inteligente con anticipación, el peligro podría evitarse por completo y el grupo número 1 se congelaría. Por ello, el equipo de tecnología de seguridad de CertiK hace las siguientes recomendaciones:

Al implementar contratos inteligentes, se deben preparar herramientas como los scripts de comando necesarios para inicializar los contratos inteligentes, y los contratos inteligentes se deben inicializar de manera oportuna para evitar que los atacantes inicialicen de forma preventiva o manipulen de manera maliciosa los contratos inteligentes aprovechando la diferencia horaria entre las operaciones de implementación. y operaciones de inicialización.

Los desarrolladores deben dominar los principios operativos y los detalles técnicos de los contratos inteligentes, y no deben adoptar ciegamente otros códigos de contratos inteligentes.

Se puede invitar a un equipo de seguridad externo profesional o expertos en seguridad interna a auditar su contrato inteligente para garantizar la seguridad y confiabilidad del contrato inteligente.

Tags：

ADA