RAT:CertiK:SushiSwap智能合约漏洞事件分析

北京时间8月28日,CertiK安全研究团队发SushiSwap项目智能合约中存在多个安全漏洞。该漏洞可能被智能合约拥有者利用,允许拥有者进行包括将智能合约账户内的代币在没有授权的情况下取空等操作在内的任意操作。同时该项目智能合约还存在严重的重入攻击漏洞,会导致潜在攻击者的恶意代码被执行多次。技术解析

火币大学于佳宁:DC/EP的发行机制类似港币:5月8日20:30,火币大学校长于佳宁在火币大学直播间,进行《即将来临的DC/EP时代 区块链行业将面临哪些新机遇》为主题的在线直播大课。

于佳宁表示,DC/EP实际上是数字版人民币,是“央行负债”,在流通过程中由央行确权,具有“法偿性”。DC/EP并没有完全照搬使用区块链技术,而是借鉴了一些关键性的技术元素,所以站在央行外部的角度看,这实际上还是中心化系统,并不是分布式系统。DC/EP是双层发行模式,也就是通过商业机构再发行给个人,这种发行机制类似港币的发行机制。观看直播点击原文链接。[2020/5/8]

万向区块链邹传伟:在DC/EP中区块链用于数字货币的确权登记 居于辅助地位:万向区块链首席经济学家邹传伟表示,支付系统(乃至金融基础设施)分为账户范式和Token范式,前者以银行账户体系为代表,后者以区块链为代表。邹传伟分析认为:DC/EP发行登记子系统由中央银行负责维护,是中心化的,不需要运行共识算法,这样就不会受制于区块链的性能瓶颈。在DC/EP中,区块链用于数字货币的确权登记,居于辅助地位,比如网上验钞功能。邹传伟也曾表示,DC/EP和现金的投放路径类似,二元体系设计考虑了商业银行利益,预计会进一步推动商业银行去拓展零售支付和零售业务。(中国经营网)[2020/4/26]

MasterChief.sol:131图片来源:https://github.com/sushiswap/在SushiSwap项目MasterChief.sol智能合约的131行中,智能合约的拥有者可以有权限来设定上图中migrator变量的值,该值的设定可以决定由哪一个migrator合约的代码来进行后面的操作。

作为M0部分替代,预计DC/EP投放量将在万亿规模:据媒体报道,央行数字货币(DC/EP)将作为交通费补贴的形式,在5月发放给苏州相城区各区级机关、事业单位和直属企业员工。机构表示,作为M0部分替代,预计央行数字货币投放量将在万亿规模,受客户习惯和技术条件的限制,取决于现金交易替换规模和电子支付替换规模。重点关注发行环节—银行IT供应商;流通环节—钱包服务提供商、支付服务提供商;管理环节—安全加密、KYC认证。(怀新资讯)[2020/4/16]

MasterChief.sol:136。图片来源:https://github.com/sushiswap/当migrator的值被确定之后,migrator.migrate(lpToken)也就可以被随之确定。由migrate的方法是通过IMigratorChef的接口来进行调用的,因此在调用的时候,migrate的方法中的逻辑代码会根据migrator值的不同而变化。简而言之,如果智能合约拥有者将migrator的值指向一个包含恶意migrate方法代码的智能合约,那么该拥有者可以进行任何其想进行的恶意操作,甚至可能取空账户内所有的代币。同时,在上图142行中migrator.migrate(lpToken)这一行代码执行结束后,智能合约拥有者也可以利用重入攻击漏洞,再次重新执行从136行开始的migrate方法或者其他智能合约方法,进行恶意操作。该漏洞的启示

·智能合约拥有者不应该拥有无限的权利,必须通过社区监管及治理(governance)来限制智能合约拥有者并确保其不会利用自身优势进行恶意操作。·智能合约代码需要经过严格的安全验证和检查之后,才能够被允许公布。当前SushiSwap项目创建者表示,已将该项目迁移到时间锁定合约,即任意SushiSwap项目智能合约拥有者的操作会有48小时的延迟锁定。在此CertiK技术团队建议大家在智能合约公布前,尽量寻找专业团队做好审计工作,以免项目出现漏洞造成损失。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

DYDXRAT:这届牛市和之前有何区别?

编者按:本文来自风火轮社区,作者:佩佩,Odaily星球日报经授权转载。佛曰:炒币该慈悲为怀,助人为乐,别人抢着要的,让大佬们先上车,别人丢弃的,捡一捡不碍事.

[0:15ms0-7:308ms