Primer lanzamiento | Mercurity.Análisis de vulnerabilidad de seguridad de contratos inteligentes de Finance

Aunque el polvo se ha asentado en un sentido amplio en las elecciones generales estadounidenses de este año, el resultado de las elecciones aún no está claro.

Ahora que el equipo de Biden ha anunciado la victoria, los medios estadounidenses han anunciado que Biden será el próximo presidente de los Estados Unidos. Por otro lado, Trump se negó a aceptar el resultado de la derrota, siguió contando votos y declaró que emprendería acciones legales.

La razón principal de los resultados caóticos de hoy es que Estados Unidos no ha establecido una comisión electoral independiente y autorizada con poder sobre los asuntos electorales. Por defecto, las organizaciones de noticias asumen este papel. Si Trump gana demasiado poder, controla la mayoría de las organizaciones de noticias y crea votos falsos, el resultado aún se desconoce.

Esto significa que, en cierta medida, se puede decir que es otra "elección de medios" después del extremadamente centralizado "Twitter que gobierna el país".

De las elecciones, a Internet, a la cadena de bloques, en 2020, la centralización ya no es una manifestación de autoridad, sino un sinónimo de "arbitrario" y "autoritarismo".

El 9 de noviembre, hora de Beijing, el equipo de investigación de seguridad de CertiK descubrió que la parte del código del contrato inteligente Mercurity.finance del proyecto DeFi tiene riesgos de centralización.

Baidu Apollo presenta la serie "Apollo 001" de colecciones digitales conmemorativas: Jinse Finance informó que, según la cuenta pública oficial de la conducción inteligente de Baidu Apollo, Baidu Apollo lanzó la primera serie "Apollo 001" de colecciones digitales conmemorativas en toda la red. corresponde a un hito importante en la conducción autónoma de Baidu Apollo. Se informa que la colección digital lanzará el lanzamiento aéreo del retrato familiar de la familia de robots de automóviles a las 09:55 el 8 de julio de 2022. [2022/7/7 1:58:19]

El propietario del proyecto tiene autoridad excesiva para acuñar cualquier cantidad de monedas y proporcionar cualquier cantidad de recompensas para una cuenta determinada.

Los pasos técnicos se analizan de la siguiente manera:

ERC20Token.sol

Código de dirección:

https://github.com/MER-DAO/MEE-core/blob/main/contracts/tokens/ERC20Token.sol

Primer lanzamiento | Okey Cloud Chain lanzó la "Solución Eye of the Sky" para promover la actualización del sistema de seguridad en la cadena: el 28 de agosto, el grupo de la industria blockchain Okey Cloud Chain anunció el lanzamiento de la "Solución Eye of the Sky" para la cadena de bloques, principalmente a través del sistema de seguimiento de datos en la cadena. La investigación y el desarrollo, el soporte técnico externo y la recopilación de la fuerza de las empresas ayudarán de manera integral a la mejora de la seguridad de la cadena de bloques y al desarrollo estable y saludable de la industria.

Se entiende que bajo el "Programa Eye of the Sky", Okey Cloud Chain Group construirá un sistema de seguimiento de datos en la cadena para frenar el lavado de dinero y otras actividades ilegales al rastrear activos digitales, monitorear transacciones ilegales y otros medios; ayudar a la ley organismos encargados de hacer cumplir la ley en el manejo de casos, y crear soporte técnico legal para tales sistemas de cadena de bloques; proporcionar soluciones de cadena de bloques + big data para cadenas de alianzas y datos en cadena basados ​​en varios negocios. [2020/8/28]

Dirección de implementación:

https://etherscan.io/address/0xe1b583dc66e0a24fd9af2dc665f6f5e48978e106#código

Primer lanzamiento | Mapa de máquina real Antminer S17 por primera vez expuesto con ventilador de doble tubo y diseño todo en uno: Tras el anuncio oficial de ventas al contado el 9 de abril, el próximo nuevo Antminer S17 de Bitmain tiene nuevos desarrollos. Se informa que el mapa de máquina real del Antminer S17 se expuso por primera vez en Internet hoy.

A juzgar por las imágenes expuestas, el Antminer S17 continúa con el diseño de ventilador de doble cilindro del producto S15 de la generación anterior y adopta el diseño de cuerpo de una máquina todo en uno. Algunas personas en la industria creen que el diseño de doble cañón puede acortar efectivamente el rango de viento, la diferencia de temperatura entre la entrada y la salida de la máquina minera será menor y el rendimiento de la máquina mejorará considerablemente.

Anteriormente, el responsable del producto de Bitmain dijo en una entrevista con los medios que, en comparación con la generación anterior de productos, el nuevo producto S17 ha mejorado mucho en términos de relación de eficiencia energética y potencia de cómputo por unidad de volumen. [2019/4/3]

Figura 1: constructor de contrato inteligente ERC20Token

Primer lanzamiento | Baidu promueve la colección en línea de 246 museos en la cadena: Golden Finance News, recientemente, Baidu Super Chain y Baidu Encyclopedia, basada en tecnología blockchain para crear una "cadena de arte cultural" para promover la colección en línea de 246 museos en el Plano del Museo Baike sinuoso. Basado en la "Cadena de Arte de Museos Culturales", Baidu trabajará con los museos para promover la confirmación y el mantenimiento de los derechos de autor de las colecciones en línea y, al mismo tiempo, explorar métodos de comercio digital para los derechos de autor de las colecciones en línea, a fin de brindar servicios más completos y más derechos. e intereses para los museos cooperativos. Según los informes, este proyecto se llevará a cabo por etapas, en la primera fase se completará la colección en línea para confirmar la propiedad de la cadena y se producirá un certificado de depósito exclusivo de derechos de autor para cada colección. Permita que cada usuario vea el certificado en las páginas de colección de PC y WAP del Proyecto del Museo de la Enciclopedia de Baidu. En el futuro, Baidu también promoverá la aplicación combinada de IA y tecnología blockchain en el campo cultural y museístico para garantizar que los datos en cadena coincidan con las colecciones, sentando las bases para transacciones digitales posteriores de derechos de autor de imágenes de colecciones. [2019/1/30]

Figura 2: modificador onlyIssuer

Figura 3: función de emisión con método de acuñación

Como se muestra en la Figura 1, el constructor del propietario del proyecto en el contrato inteligente ERC20Token.sol puede establecerse como la identidad del emisor. Dado que su constructor se ejecutará automáticamente cuando se implemente el contrato inteligente, el propietario del proyecto se convertirá automáticamente en un emisor.

A través de la restricción del modificador onlyIssuer que se muestra en la Figura 2, cualquier llamador externo con identidad de emisor podrá ejecutar cualquier función modificada por el modificador onlyIssuer.

Por lo tanto, el propietario del proyecto con la identidad del emisor puede ejecutar la función de emisión con el método de acuñación de la Figura 3, de modo que se pueda acuñar cualquier cantidad de tokens para cualquier cuenta.

Además de esto, el proyecto también tiene una puerta trasera que permite a los propietarios del proyecto ofrecer recompensas simbólicas. La puerta trasera existe en el contrato inteligente AwardContract.sol.

https://github.com/MER-DAO/MEE-core/blob/main/contracts/AwardContract.sol

https://etherscan.io/address/0x8Ea43ce113456f45defd0E27e809d719b9CA2362#código

Figura 4: Constructor de contrato inteligente AwardContract

Figura 5: modificador onlyGovernor

Figura 6: función de contrato inteligente addFreeAward

Cuando el propietario del proyecto implementa AwardContract.sol en la cadena de bloques, el constructor del contrato AwardContract se ejecutará automáticamente, lo que significa que después de que se ejecuten automáticamente las 43 líneas de código de la Figura 4, el propietario del proyecto recibirá automáticamente el estado de gobernador

Los llamantes externos con estado de gobernador pueden ejecutar de manera similar cualquier función de contrato inteligente modificada por el modificador onlyGovernor, como la función addFreeAward que se muestra en la Figura 6.

Dado que todas las personas que llaman externas pueden retirar sus propias recompensas llamando a la función de retiro en la Figura 7, cuando la persona que llama externa con la identidad del gobernador agrega una cierta cantidad de recompensas a una cuenta (que se supone que es A), cuenta A Esta función se puede llamar, y después de pasar la verificación de condición de juicio en la línea 246, la recompensa adicional se puede retirar llamando a la función safeIssue() en la línea 281.

Figura 7: retirar la función de contrato inteligente

En resumen, todas las vulnerabilidades de puerta trasera en los contratos inteligentes en el proyecto Mercurity.finance provienen de la autoridad excesiva del propietario del proyecto. En este tipo de mecanismo de gobierno centralizado, los propietarios del proyecto tienen derecho a obtener ganancias en cualquier momento o destruir el sistema económico del proyecto.

El equipo de investigación de seguridad de CertiK sugirió que Mercurity.finance actualice el sistema de gobierno adoptado en el proyecto e introduzca un mecanismo de gestión comunitaria.

CertiK recuerda a los usuarios:

1. El código del contrato debe someterse a una estricta verificación y auditoría de seguridad antes de que se permita su publicación.

2. Los inversores deben medir los riesgos e invertir con cautela cuando invierten en proyectos que adoptan mecanismos de gobierno centralizados.

Tags：

OKX Exchange App Download