首发 | CertiK:DeFi项目Walletreum内部操作攻击事件分析

马克思曾在资本论中引用一句名言:“如果有10%的利润,它就保证到处被使用;

有20%的利润,它就活跃起来;

有50%的利润,它就铤而走险;

为了100%的利润,它就敢践踏一切人间法律;

有300%的利润,它就敢犯任何罪行,甚至绞首的危险。”

对于区块链来说,去中心化是一切的本质,更是区块链世界和生态的标杆。

无论是什么形式的去中心化,它的本质实际上指的都是权力从顶层中心化机构到基层个体的下沉。

这个下沉趋势随着世界的发展不断的惠及每一个个体。区块链所言的“去中心化”同样是随着经济和科技发展,迎合社会发展本质上的一类。铸币权便是其中之一。

这里的铸币权指的是将其下放至专业及安全的团队或个体手中,通过健康的社区治理,达到实现区块链领域愿景的目的。

数字货币概念股午后继续走强:行情显示,数字货币概念股午后继续走强,京北方、新开普午后双双拉升封板,翠微股份、御银股份、亚联发展、二三四五等此前涨停,正元智慧、京北方、科蓝软件、天阳科技、长亮科技等跟涨。[2022/1/4 8:23:42]

然而如同早年间的铸币行为在传统金融中屡禁不绝,区块链领域内的恶意铸币行为也是无休无止。

一个项目其违背去中心化的本质,通过拥有者的极大权限进行恶意铸币,不仅仅损害了项目的良势发展,更是损害了每一位投资者与项目支持者的切身利益。

北京时间11月16日,CertiK安全研究团队发现DeFi项目Walletreum被项目团队通过内部操作,恶意铸造5亿个WALT代币。截止11月16日早5时,恶意铸造的代币量已约合近190万人民币。

波卡生态概念板块今日平均跌幅为13.49%:金色财经行情显示,波卡生态概念板块今日平均跌幅为13.49%。26个币种中3个上涨,23个下跌,其中领涨币种为:XOR(+1.85%)、KLP(+0.31%)。领跌币种为:OAX(-27.60%)、POLY(-26.22%)、AKRO(-23.59%)。[2021/4/23 20:52:39]

CertiK安全研究团队通过分析其智能合约代码,发现其智能合约代码中心化风险极高,存在安全隐患,项目拥有者拥有权限向任意地址铸造任意数目的代币。

完整技术分析如下:

项目拥有者地址:0xa5e552e3d643cc89f3b1ceccfd6f42c5c1aee775

TAF CHAIN主网将于2021年3月上线?:据官方消息,TAF CHAIN(快子公链)已完成第一阶段战略发展目标,现已进入第二阶段,其主网将于2021年3月上线。TAF CHAIN官方表示:“届时,TAF CHAIN性能和拓展性跟现有公链相比都会大幅提升,去中心化应用生态将更加繁荣,并大规模应用于普惠金融、物流供应链、防伪溯源、电子政务、游戏娱乐、电子商务、共享经济、征信管理等商业场景。

据介绍,TAF CHAIN公链具有高效存储技术和集群方案等优势,最大特色为其吞吐能力,理论优化后可突破10万TPS每秒甚至更高,且未来将会进行不间断的升级,使其能支撑全球各类商业应用。目前该条公链正在申请瑞士金融监管局和阿联酋迪拜金融服务监管局的监管许可。[2020/12/2 22:50:59]

图一:内部操作攻击交易信息

图一是Walletreum项目中WALTToken智能合约被内部操作,铸造额外5亿个WALT代币的交易信息。

该交易哈希值为0xc0f3b0576f18a714d78b822754489d4201c9e36fb0ce4b2f53a93217564710e5。

CertiK天网系统 (Skynet) 检测到区块1126401出现异常交易信息后,立刻向CertiK安全研究团队发出警示。

CertiK安全研究团队在对该项目智能合约进行快速分析后,认为该项目为当前一典型的由于智能合约高中心化而导致的攻击。

图二:WALTToken智能合约mint()函数

 图二为遭受内部操作攻击智能合约中被恶意调用的函数mint()。

从666行的代码实现中可以看出,任何拥有minter权限、可以通过onlyMinter修饰符限制的外部调用者均可以调用该函数。

该函数的作用是通过667行代码向任意账户(account)铸造任意数目的代币(amount)。

通过图三中619行onlyMinter修饰符的逻辑实现,以及615行构造函数中给与智能合约部署者minter权限的逻辑实现,智能合约部署者拥有了可以执行图二中mint函数的权限。

图三:onlyMinter修饰符以及给与项目管理者minter权限的构造函数

图四:项目拥有者拥有minter权限

查询项目拥有者是否拥有minter权限的结果如图四所示。

至此,项目拥有者拥有执行mint函数的权利,最终恶意铸造了5亿个WALT代币,致使项目投资者遭受损失。

CertiK安全团队通过研究认为,目前大多数DeFi项目中均存在类似于Walletreum项目的风险。

该类mint函数以及minter权限的实现表明了当前DeFi项目中项目拥有者权限过大,中心化风险较高。

这会导致内部操作等情况的发生完全依赖于项目拥有者个人或者团队的“个人素质”与选择。

CertiK团队此前分析过同样存在中心化风险的Mercurity.finance项目,而类似此次Walletreum项目被内部操作攻击的情况以后想必也依旧会发生。

在此,CertiK团队发出建议:

如要防范此类内部操作,应当注重提高社区治理的程度,并在项目实现上尽可能降低中心化权限,对任意重要操作均需要通过社区投票或者运用Timelock延时限制机制。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

ETH金色前哨|ETH2.0存款合约或于1月27日达成

金色财经报道,11月20日,以太坊研发者Philippe Castonguay发推表示,很惊讶以太坊2.0阶段0的存款一直都很稳定。使用线性回归推测,1月27日似乎可以达到启动门槛,比我预期的要早。如果会有最后的冲刺,可能会提前一周左右。据昨日消息,CryptoQuant团队也称,通过计算得出,按目前进度ETH2.0主网将在2021年1月15日上线。

AVAXEOS生态现在如何了?还有机会靠DeFi翻盘吗?

风险提醒:EOS作为曾经红极一时的热门公链,由于众所周知的种种原因导致越来越多社区成员和投资人的失望,今年比特币、DeFi、以太坊生态进展迅速,但EOS却是一蹶不振,我们也看到各社群里的一片片叫骂声。

MANADeFi市场迫切需要与现实世界资产建立联系

锁定总价值超过130亿美元,去中心化金融(DeFi)在去年真正震撼了加密世界。它为加密市场提供了一种新的盈利方式。同时,DeFi现在只是一个小众的趋势,有巨大的潜力在商业贷款市场掀起一场革命。为了从婴儿期成长起来,DeFi急需与现实世界的资产进行连接,并存在于一个可以被真实企业、企业客户等使用的环境中。

欧易交易所app下载中国银行原副行长王永利:数字人民币与支付宝可比吗?

数字人民币进入实测阶段后,经常会被问到一个问题:数字人民币与支付宝或财付通(微信支付)有什么不同? 对于这个问题,有不少人总结出不少的不同点,比如:数字人民币是央行货币,支付宝、财付通等是银行货币或钱包货币,二者的法偿性与信用等级不同,安全性和流动性也不同;数字人民币属于公共产品,其投放和流通可以是免费的,支付宝、财付通则是商业服务。

[0:0ms0-3:166ms