Primer lanzamiento | CertiK: análisis del evento de ataque a la operación interna del proyecto DeFi Walletreum

Marx citó una vez un dicho famoso en Das Kapital: "Si hay un 10% de ganancia, se garantiza que se usará en todas partes;

Con una ganancia del 20%, se activa;

Si hay un beneficio del 50%, correrá riesgos;

Por 100% de ganancia, se atreve a pisotear todas las leyes humanas;

Con un beneficio del 300%, se atreve a cometer cualquier delito, incluso el riesgo de ahorcamiento. "

Para blockchain, la descentralización es la esencia de todo, y es el punto de referencia del mundo y la ecología de blockchain.

No importa qué forma de descentralización, su esencia en realidad se refiere al hundimiento del poder de las instituciones centralizadas de alto nivel a los individuos de base.

Esta tendencia a la baja continúa beneficiando a cada individuo con el desarrollo del mundo. La "descentralización" mencionada por blockchain también es una categoría que satisface la esencia del desarrollo social con el desarrollo de la economía y la tecnología. La acuñación es una de ellas.

Primer lanzamiento | Okey Cloud Chain lanzó la "Solución Sky Eye" para promover la actualización adicional del sistema de seguridad en la cadena: el 28 de agosto, el grupo de la industria blockchain Okey Cloud Chain anunció el lanzamiento de la "Solución Sky Eye" blockchain, principalmente a través del sistema de seguimiento de datos en cadena La investigación y el desarrollo, el soporte técnico externo y la recopilación de la fuerza de las empresas ayudarán de manera integral a la mejora de la seguridad de la cadena de bloques y al desarrollo estable y saludable de la industria.

Se entiende que bajo el "Programa Sky Eye", Okey Cloud Chain Group construirá un sistema de seguimiento de datos en cadena y utilizará métodos como rastrear activos digitales y monitorear transacciones ilegales para frenar por completo actividades ilegales como el lavado de dinero; ayudar organismos encargados de hacer cumplir la ley en el manejo de casos, y crear asistencia técnica legal para dichos sistemas de cadena de bloques; proporcionar soluciones de cadena de bloques + big data para cadenas de alianzas y datos en cadena basados ​​en varios negocios. [2020/8/28]

La acuñación aquí se refiere a delegarla en un equipo o individuo profesional y seguro, a través de una gobernanza comunitaria saludable, para lograr el objetivo de hacer realidad la visión del campo blockchain.

Sin embargo, así como el comportamiento de acuñación en los primeros años se prohibió repetidamente en las finanzas tradicionales, el comportamiento de acuñación malicioso en el campo de la cadena de bloques también es interminable.

Primera versión | Se establece oficialmente la base de prácticas de seguridad de software y tecnología de cadena de bloques: Jinse Finance informó que hoy, China Soft Association Blockchain Branch, People's Public Security University y la Oficina de Seguridad Pública de la ciudad de Heze construyeron conjuntamente una base de prácticas de seguridad de software y tecnología de cadena de bloques establecida oficialmente. Al mismo tiempo, Song Ailu, subsecretaria general de la rama de cadena de bloques de la Asociación de Software de China, fue contratada como experta especial en la base de prácticas de seguridad de software y tecnología de cadena de bloques.

La base de prácticas de seguridad de software y tecnología blockchain involucra principalmente las siguientes áreas: transacciones ilegales de moneda digital y lavado de dinero, esquemas piramidales de blockchain y fraude de telecomunicaciones, juegos de azar en línea, pago de cuatro partes, registro de marca fraudulento, etc., gobernanza social conjunta, seguridad urbana , tecnología de punta Los expertos de la industria en el campo cooperan con la Asociación de Policía.

Según informes públicos, los órganos de seguridad pública de la ciudad de Heze acaban de descifrar recientemente un gran caso de fraude en la red de telecomunicaciones, aplastaron a varias bandas fraudulentas sospechosas de usar préstamos en línea e invertir en "bitcoin", arrestaron a 83 sospechosos y confiscaron y congelaron el fondos involucrados en el caso de 27 millones de yuanes. [2020/7/21]

Un proyecto que viola la naturaleza de la descentralización y acuña maliciosamente monedas a través de la gran autoridad del propietario no solo daña el buen desarrollo del proyecto, sino que también daña los intereses vitales de cada inversor y partidario del proyecto.

Primer lanzamiento | Canaan anuncia una cooperación estratégica con Northern Data en IA, Blockchain y otros campos de computación de alto rendimiento: Según las noticias oficiales, el 17 de febrero de 2020, Canaan anunció una asociación con Blockchain Solutions y Data Center El proveedor de servicios Northern Data AG alcanzó una cooperación estratégica. El contenido de esta cooperación cubre campos de computación de alto rendimiento como IA, blockchain y operación y mantenimiento de centros de datos.

Canaan tiene una gran experiencia en el desarrollo de chips ASIC para computación de alto rendimiento. Northern Data AG se centra en la construcción de infraestructura informática de alto rendimiento, como blockchain y centros de datos. A través de esta cooperación estratégica, las dos partes liberarán aún más el potencial de crecimiento en campos emergentes como la IA y la cadena de bloques. [2020/2/19]

El 16 de noviembre, hora de Beijing, el equipo de investigación de seguridad de CertiK descubrió que el proyecto DeFi Walletreum fue acuñado maliciosamente con 500 millones de tokens WALT por parte del equipo del proyecto a través de operaciones internas. A partir de las 5 a. m. del 16 de noviembre, la cantidad de tokens acuñados de forma malintencionada alcanzó casi 1,9 millones de RMB.

Primer lanzamiento | Vicepresidenta de Negocios Globales de Huobi Group: La supervisión determinará la velocidad de la tecnología blockchain y el aterrizaje de criptomonedas: El 21 de enero, Ciara Sun, Vicepresidenta de Negocios Globales de Huobi Group, dijo en el Foro Económico Mundial en Davos que el distrito 2019 es un año importante para la actitud regulatoria de blockchain y la moneda digital. En los Estados Unidos, a fines de 2019, había 21 proyectos de ley dirigidos a la política de criptomonedas y blockchain.Estos proyectos de ley incluyen temas de impuestos, estructuras regulatorias, funciones de seguimiento y aprobaciones de ETF, qué agencias federales regulan los activos digitales, etc. La Unión Europea (UE) implementó una nueva ley el 10 de enero de 2020, que requiere que las plataformas de criptomonedas adopten prácticas más estrictas contra el lavado de dinero. Suiza, Japón, Lituania, Malta y México han aprobado leyes que requieren que los intercambios tengan licencia de acuerdo con las pautas de KYC y AML. Países como China, Turquía, Tailandia y otros están planeando sus propias monedas digitales de banco central (CBDC). La regulación determinará la velocidad a la que se implementará la tecnología blockchain y las criptomonedas. [2020/1/22]

Al analizar su código de contrato inteligente, el equipo de investigación de seguridad de CertiK descubrió que el riesgo de centralización de su código de contrato inteligente es extremadamente alto y existen riesgos de seguridad.El propietario del proyecto tiene derecho a emitir cualquier cantidad de tokens a cualquier dirección.

El análisis técnico completo es el siguiente:

Dirección del propietario del proyecto: 0xa5e552e3d643cc89f3b1ceccfd6f42c5c1aee775

Figura 1: información de transacción de ataque de operación interna

La Figura 1 muestra la información de la transacción del contrato inteligente WALTToken en el proyecto Walletreum que se opera internamente para acuñar 500 millones de tokens WALT adicionales.

El valor hash de la transacción es 0xc0f3b0576f18a714d78b822754489d4201c9e36fb0ce4b2f53a93217564710e5.

Después de que el sistema CertiK Skynet (Skynet) detectó información de transacciones anormales en el bloque 1126401, inmediatamente emitió una advertencia al equipo de investigación de seguridad de CertiK.

Después de un análisis rápido del contrato inteligente del proyecto, el equipo de investigación de seguridad de CertiK cree que el proyecto es un ataque típico causado por la alta concentración de contratos inteligentes.

Figura 2: Función de contrato inteligente mint() de WALTToken

 La figura 2 muestra la función llamada maliciosamente mint() en el contrato inteligente que sufre ataques de operaciones internas.

Se puede ver en la implementación del código en la línea 666 que cualquier llamador externo que tenga el permiso minter y pueda ser restringido por el modificador onlyMinter puede llamar a esta función.

La función de esta función es acuñar cualquier cantidad de tokens (cantidad) a cualquier cuenta (cuenta) a través de 667 líneas de código.

A través de la implementación lógica del modificador onlyMinter en la línea 619 en la Figura 3, y la implementación lógica de la autoridad minter otorgada al implementador de contratos inteligentes en el constructor en la línea 615, el implementador de contratos inteligentes tiene la autoridad para ejecutar la función mint en la Figura 2.

Figura 3: El modificador onlyMinter y el constructor que otorga permisos minter al administrador del proyecto

Figura 4: El propietario del proyecto tiene permiso de minter

La figura 4 muestra el resultado de consultar si el propietario del proyecto tiene permiso de minter.

Hasta ahora, el propietario del proyecto tiene derecho a ejecutar la función de acuñación y, finalmente, acuñó maliciosamente 500 millones de tokens WALT, lo que provocó pérdidas a los inversores del proyecto.

El equipo de seguridad de CertiK cree a través de la investigación que la mayoría de los proyectos DeFi actuales tienen riesgos similares a los proyectos de Walletreum.

La implementación de este tipo de función de menta y permiso de menta indica que el propietario del proyecto tiene demasiado permiso en el proyecto DeFi actual y el riesgo de centralización es alto.

Esto conducirá a la ocurrencia de operaciones internas y otras situaciones que dependen completamente de las "cualidades personales" y las elecciones del propietario del proyecto o del equipo.

El equipo de CertiK ha analizado previamente el proyecto Mercurity.finance, que también tiene riesgos de centralización, y la situación similar al proyecto Walletreum que es atacado por operaciones internas seguirá ocurriendo en el futuro.

Aquí, el equipo de CertiK emite recomendaciones:

Para evitar tales operaciones internas, se debe prestar atención a mejorar el grado de gobernanza comunitaria y reducir la autoridad centralizada tanto como sea posible en la implementación del proyecto Para cualquier operación importante, es necesario aprobar la votación de la comunidad o utilizar el mecanismo de restricción de demora Timelock.

Tags：

Precio de Ethereum USD