我们分析了 Worldcoin 代币$WLD 的智能合约0x163f8c2467924be0ae7b5347228cabf260318753,发现其存在一定的安全隐患,以下是关于代币$WLD 的相关风险详解。
mintOnce 函数
该合约实现了一个中心化的铸币机制 mintOnce,允许 owner 调用此函数一次性地对多个地址进行批量铸币。经查证,该函数已经被当前的 owner 调用过。
当前的 owner 是一个 1/1 多签钱包合约:0x59a0f98345f54bAB245A043488ECE7FCecD7B596,且只有一个合约拥有者 0 x c 534 a 745 bFfaF 9466 Ed 7 B 47 fA 23 B 0177 b 99 A 3 e 77 ,这意味着只需要一个签名就可代表 owner 进行特权操作。
Variant创始人奖学金计划今日公布12个基础设施和DeFi项目:金色财经报道,加密风投Variant Fund于2023年夏季开始举办首届创始人奖学金(Founder Fellowship)计划。今天的主题是基础设施和DeFi项目。 其中12个项目上榜。以下是项目速览:
1.Ponder:正在为加密应用程序后端构建一个开源框架;
2.Doormat:正在为加密货币高级用户构建非托管钱包体验;
3.Heimdall Labs:正在为加密项目开发模块化和去中心化的合规协议
4.Chroma:正在构建一个用于启动和管理链上借贷市场的操作系统;
5.Clave:正在通过使用生物识别身份验证作为备份密钥;
6.Poolshark:是一款面向 DeFi 交易者的定向 AMM;
7.Pathfinder:正在构建一个以人为本的界面;
8.Mezzanine:正在将公司治理引入链上;
9.Rocko:专注于简化借贷协议的借贷;
10.Shield:正在开发黑客攻击后安全产品;
11.Digito:是一个以拉丁美洲为重点的网络,允许用户使用同一私钥签署链上交易和现实世界的文件;
12.HashCurve:是一个社区管理的预测市场平台。[2023/9/8 13:26:13]
Alluviall完成1200万美元A轮融资,Ethereal Ventures与Variant共同领投:7月11日消息,机构级流动性质押协议Liquid Collective开发商Alluviall宣布完成1200万美元A轮融资,Ethereal Ventures和Variant共同领投,Brevan Howard Digital、Coinbase Ventures、Kraken和富达的Avon Ventures参投。[2023/7/11 10:48:46]
setMinter 函数
该合约还实现了 setMinter 函数,允许 owner 设置一个 minter 地址,不过目前 minter 是零地址。
乌克兰零售商VARUS通过Binance Pay接受加密支付:9月16日消息,Binance宣布与乌克兰食品连锁零售商内翻达成合作。Varus是一家在乌克兰拥有100多家超市商店的零售商,它与数字资产交易所币安合作推出了加密货币支付。客户现在可以在线订购杂货并通过币安支付钱包支付账单。VARUS是欧洲第一家接受Binance Pay的超市。[2022/9/16 7:02:09]
mintInflation 函数
如果 owner 设置了一个非零 minter,该 minter 就可以随意调用 mintInflation 对任意地址无限量增发代币。
经过统计,前 6 个地址已经持有了 94.5% 的总发行量,这说明代币分配非常集中。
综上所述,$WLD 代币存在以下安全隐患:
Owner 目前只有一个签名者,意味着只需要一个人的签名就可以代表 owner 对合约进行特权操作
存在设置 minter 后无限增发代币的风险
代币分配过于集中,前 6 个地址持有绝大部分代币
为降低这些安全风险,我们建议:
增加 owner 的签名者数量,实施多签管理
约束合约拥有者任意设置 minter,防止无限增发
采取锁仓或者持续释放等措施,降低代币分配的集中度
安全是区块链生态健康发展的基石,我们会继续关注项目安全,及时进行安全风险提示,共同维护链上资产安全。
MataTrust Labs
个人专栏
阅读更多
Foresight News
金色财经 Jason.
白话区块链
金色早8点
LD Capital
-R3PO
MarsBit
深潮TechFlow
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。