Primer lanzamiento | El disco de imitación de SushiSwap YUNO y KIMCHI lagunas en los contratos inteligentes o posibles riesgos de seguridad

El 31 de agosto y el 1 de septiembre, hora de Beijing, el equipo de investigación de seguridad de CertiK descubrió que dos proyectos de imitación de Sushiswap, YUNo Finance (YUNO) y KIMCHI.finance (KIMCHI), tenían vulnerabilidades en sus contratos inteligentes. Si se explota esta vulnerabilidad, el propietario del contrato inteligente puede emitir una cantidad ilimitada de tokens correspondientes al proyecto, lo que lleva a la inflación del progreso financiero del proyecto y al eventual colapso.

Tomando el contrato inteligente en el proyecto Yuno como ejemplo, el equipo de investigación de seguridad de CertiK realizó un análisis detallado de la vulnerabilidad de emisión infinita.Los detalles técnicos son los siguientes: 

En la línea 1354 del contrato inteligente de MasterChef.sol en el proyecto Yuno, el método dev permite que la persona que llama con el contrato inteligente que actualmente tiene la identidad devaddr transfiera la identidad devaddr a otra dirección.

LBank Blue Shell lanzará CSPR (Casper) a las 20:00 el 3 de mayo y abrirá el comercio de USDT: según el anuncio oficial, LBank Blue Shell lanzará CSPR (Casper) a las 20:00 el 3 de mayo, abrirá el comercio de USDT y abrirá recargar al mismo tiempo Según los datos, la red Casper es la primera cadena de bloques de prueba de participación en tiempo real basada en la especificación CasperCBC. Casper está diseñado para acelerar la adopción de la tecnología blockchain por parte de empresas y desarrolladores en la actualidad, al tiempo que garantiza su alto rendimiento en el futuro a medida que evolucionan las necesidades de los participantes de la red. [2021/5/3 21:19:51]

Captura de pantalla de: https://etherscan.io/address/0x450f143f1a8650fff968d890814bd5884bdc8f1d#code

Primer lanzamiento | Las transferencias anteriores de 18,000 BTC fueron organizadas internamente por el intercambio Bithumb: el sistema de monitoreo en cadena de Beijing Lianan encontró que una transferencia de 18,000 BTC ocurrió a las 17:07 el 24 de octubre, hora de Beijing. Después del análisis, en realidad fue el trabajo de acabado interno del intercambio Bithumb, que empaqueta una gran cantidad de UTXO de 100 a 200 BTC en 18 UTXO de 1000 BTC y los transfiere a su dirección interna. Por lo general, la clasificación de UTXO de varios "valores nominales" a nivel de número entero es una operación regular de intercambio. [2019/10/24]

En la siguiente figura, puede ver que el método mint en la línea 1282 del contrato inteligente está restringido por el decorador onlyOwner, que determina que solo el propietario del contrato inteligente puede ejecutar el contrato.

Primer lanzamiento | Exposición de rendimiento de Antminer S17 Uso de nueva tecnología de disipación de calor y esquema de personalización de optimización global: Jinjin Finance News, hace unos días, la próxima exposición de rendimiento de Antminer S17 de Bitmain. Según Moments, gerente de producto de Antminer S17, el nuevo producto adoptará una nueva generación de tecnología de disipación de calor y soluciones globales de optimización y personalización. Se entiende que la tecnología de disipación de calor puede referirse a la tecnología de empaque del chip, o puede ser el diseño de la estructura de disipación de calor de la máquina. En cuanto al plan de "optimización y personalización global" del producto S17, no se revelaron detalles. Hay voces que comentan que esto puede ser una preparación para la batalla decisiva de la temporada de lluvias. [2019/3/22]

Las tres capturas de pantalla anteriores son todas de: https://etherscan.io/address/0x450f143f1a8650fff968d890814bd5884bdc8f1d#code

El primer BM de IMEOS dijo que los contratos EOS tienen protección contra desbordamiento de enteros: según IMEOS, un medio cooperativo de Jinse Finance, recientemente ETH ha experimentado múltiples errores de desbordamiento de procesamiento de contratos inteligentes ERC20, y BM comentó en Twitter: El nuevo error del contrato ETH puede destruir todo Token El suministro de tokens permite a los titulares dejar Token sin valor, es por eso que el código no puede convertirse en ley, y significa inmediatamente que el contrato EOS erc no es vulnerable a este ataque. Algunas personas en el grupo oficial de EOS también expresaron su preocupación sobre si EOS tiene protección contra desbordamiento de enteros. Respuesta de BM: hay muchas clases de plantilla de C++ que encapsulan tipos y verifican el desbordamiento. [2018/4/25]

La persona que llama con la identidad de devaddr puede emitir tokens ilimitados llamando al método mint en la línea 1282 del contrato inteligente MasterChef.sol cuando su identidad es la del propietario al mismo tiempo. El método mint en la línea 1282 continuará llamando al método mint en la línea 1130, y el método mint en la línea 1130 continuará llamando al método _mint en la línea 1044 y finalmente completará la operación de emisión del token.

 La laguna de emisión ilimitada en el contrato inteligente del proyecto Kimichi es básicamente la misma que la laguna anterior, por lo que no se repetirá aquí.

Si las direcciones del propietario y devaddr son las mismas, entonces, sin restricciones externas sobre el propietario del contrato inteligente, el propietario del contrato inteligente tiene derecho a emitir cualquier cantidad de tokens, lo que pondrá en riesgo a los inversores. Entonces, ¿el devaddr y el propietario de los dos proyectos, Yuno y Kimichi, son la misma persona? ¿Existen otras restricciones externas que puedan limitar a los propietarios de contratos inteligentes de estos dos proyectos?

La siguiente figura muestra las direcciones con identidades de devaddr y propietario en el contrato inteligente MasterChef.sol del proyecto Yuno (a partir de las 11:00 p. m., 1 de septiembre, hora de Beijing).

Captura de pantalla de: https://etherscan.io/address/0x9dd5b5c71842a4fd51533532e5470298bfa398fd#readContract

La siguiente imagen muestra las direcciones con identidades de devaddr y propietario en el contrato inteligente KimchiChef.sol en el proyecto Kimichi (a partir de las 11:00 p. m., 1 de septiembre, hora de Beijing).

Como se puede ver en las dos figuras anteriores, las direcciones con identidades devaddr y propietario en el proyecto Yuno son las mismas, por lo que el propietario del contrato inteligente tiene derecho a emitir tokens ilimitados. En el proyecto Kimichi, la identidad de devaddr y propietario son diferentes, pero dado que la identidad de devaddr se puede transferir, existen ciertos riesgos.

Para garantizar que no se active-ethdax la laguna de emisión infinita, los propietarios de contratos inteligentes de los proyectos Yuno y Kimichi deben estar restringidos desde el exterior. Las restricciones implementadas actualmente son consistentes con el proyecto Sushiswap, es decir, hay un retraso de 48 horas para cualquier operación de contrato inteligente realizada por el propietario del contrato inteligente. Cualquier operación del propietario del contrato inteligente será observada por todos los inversores y tendrá 48 horas para responder.

En la actualidad, DeFi y los proyectos agrícolas relacionados son extremadamente populares.Dado que los proyectos de blockchain tienen requisitos para la apertura de los códigos de proyecto, el umbral para lanzar nuevos proyectos es extremadamente bajo. Se pueden introducir errores arbitrarios en un proyecto si toma prestado ciegamente de otros proyectos. Por lo tanto, antes de que el proyecto entre en línea, se debe realizar una estricta auditoría de seguridad en el proyecto.

Desde la perspectiva de los inversionistas, la tasa de retorno de varios miles por ciento del proyecto agrícola actual puede incitar fácilmente a los inversionistas a invertir a ciegas sin una comprensión suficiente del proyecto en sí. Por ejemplo, los tres proyectos de SushiSwap, Yuno y Kimchi se lanzaron rápidamente sin una verificación de seguridad rigurosa. Los inversores pueden sentirse confundidos por los enormes rendimientos e invertir fondos preciosos en contratos inteligentes con grandes riesgos.

Tags：

XMR