首发 | Mercurity.finance智能合约安全漏洞分析

以太坊最新价格 来源: (阅读:0)

今年美国大选虽说有了广泛意义上的尘埃落定,但竞选结果并未明确。

如今拜登团队宣布胜选,美国媒体纷纷宣布拜登当选下届美国总统。而另一方面,川普拒绝接受败选结果,他持续进行计票,并宣称要采取法律行动。

造成如今这个混乱结果的首要原因在于美国没有设立独立的对大选事务具有权力的权威性的选举委员会,在默认情况下,是新闻机构承担了这个角色。假如川普获得过大的权力,控制了大多新闻机构,营造虚假选票,结果尚未可知。

这就意味着某种程度上,可以说是极尽中心化的“推特治国”后的又一“媒体选举”。

从选举,到互联网,到区块链,2020年,中心化不再是权威的体现,而是“独断”、“专权”的代名词。

北京时间11月9日,CertiK安全研究团队发现DeFi项目Mercurity.finance智能合约代码部分存在中心化风险。

项目拥有者拥有过大权限,可以进行任意数目的铸币,并为给定账户提供任意数目的奖励。

技术步骤分析如下:

ERC20Token.sol

代码地址:

https://github.com/MER-DAO/MEE-core/blob/main/contracts/tokens/ERC20Token.sol

部署地址:

https://etherscan.io/address/0xe1b583dc66e0a24fd9af2dc665f6f5e48978e106#code

Gate.io开启投票上币第120期ARGON:据官方公告,Gate.io于4月22日(今日)12:00开启投票上币项目第120期Argon (ARGON),投票截止时间至2021年4月29日12:00。在本轮投票中,ARGON如获得1000万票,Gate.io将上线ARGON对USDT交易,参与投票的用户均可分享总计约 258,000 ARGON(40,000美金)空投奖励。

ARGON超级空投福利活动将于今日12:00同步开启,活动截止至4月29日12:00,充值前600名、新用户注册加交易还有机会领取4,000美元代币空投奖励。[2021/4/22 20:46:49]

图一: ERC20Token智能合约构造函数

图二:onlyIssuer修饰词

图三: 具有铸币方法的issue函数

如图一所示,项目拥有者在ERC20Token.sol智能合约中的构造函数可以将自身设置为issuer身份。由于在智能合约部署时,其构造函数会被自动执行,因此项目拥有者会自动成为issuer。

通过图二中显示的onlyIssuer修饰词的限制,任意拥有issuer身份的外部调用者将可以执行任意被onlyIssuer修饰词修饰的函数。

因此,拥有issuer身份的项目拥有者可以执行图三中具有铸币方法的issue函数,从而可以为任意账户铸造任意数目的代币。

除此之外,该项目还存在一个允许项目拥有者提供代币奖励的后门。该后门存在与AwardContract.sol智能合约中。

https://github.com/MER-DAO/MEE-core/blob/main/contracts/AwardContract.sol

https://etherscan.io/address/0x8Ea43ce113456f45defd0E27e809d719b9CA2362#code

图四:AwardContract智能合约构造函数

图五:onlyGovernor修饰词

图六:addFreeAward智能合约函数

当AwardContract.sol被项目拥有者部署到区块链上时,AwardContract合约的构造函数会被自动执行,也就意味着图四中43行代码被自动执行后,项目拥有者会自动被赋予governor身份。

拥有governor身份的外部调用者可以类似的执行任意被onlyGovernor修饰词修饰的智能合约函数,例如图六中所示addFreeAward函数。

由于所有外部调用者都可以通过调用图七中withdraw函数来将属于自己的奖励取出,因此当governor身份的外部调用者为某一个账户(假设为A)添加了某一数量的奖励后,A账户可以对该函数进行调用,并通过246行的判断条件检查后,通过在281行调用safeIssue()函数来取出被添加的奖励。

图7:withdraw智能合约函数

综上分析,Mercurity.finance项目中智能合约存在的后门漏洞均来自于项目拥有者权限过大。在该类中心化治理机制中,项目拥有者得到了可以随时获利或者摧毁项目经济系统的权利。

CertiK安全研究团队建议Mercurity.finance更新项目中采用的治理系统,引入社区管理的机制。

CertiK在此提醒广大用户:

1. 合约代码需要经过严格的安全验证和审计才可被允许公布。

2. 投资者在投资采用中心化治理机制的项目时需衡量风险,谨慎投资。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

标签:ISSACTARGONONTMission HeliosACTN币Content Coin

链链资讯

狗狗币11.6午间行情:美股连阳携比特币楔形突破接近变盘区域

文章系金色财经专栏作者炊事团团长供稿,发表言论仅代表其个人观点,仅供学习交流!金色盘面不会主动提供任何交易指导,亦不会收取任何费用指导交易,请读者仔细甄别,谨防上当。? 昨夜美股道琼斯工业指数4连阳跳空高开坚定上行,收盘大涨542点,涨幅1.95%。随美股连续上涨比特币今晨8时创下新高15985美金,该位置已距离历史高点19875不足4000美金。

SAND基本面向好 价格却一路下跌 DeFi 被低估了吗?

整个 10 月,去中心化金融市场(DeFi)可谓是历经磨难。尽管比特币强势上涨,DeFi 代币却陷入了跌跌不休的困境,而且没有任何反弹迹象。 在经历了一个月的修正 之后,有三个催化剂可能会推动 DeFi 市场的救市反弹:DeFi 空头的低风险回报比、DeFi 协议中锁定总价值(TVL)的持续增加、以及围绕 DeFi 市场的极端负面情绪。

AAVE多次突破万四关口 BTC市场正显示出巨大购买力?

11月5日18:03,火币全球站数据显示,BTC短线上涨,突破14500美元关口,现报14500.48美元,日内涨幅达到4.23%。实际上,近日比特币市场已呈现出突破前高的态势,持续徘徊在万四上方,呈现出单边强势行情,而市场情绪也普遍看好。

[0:15ms0-3:892ms