首发 | DeFi项目Based智能合约出现漏洞 发生了什么?

“亡羊补牢,为时未晚”,这句话在生活中的大部分时候均适用。然而,在面临网络安全时,牢破也许就会造成无法挽回的损失。

在安全问题未造成不可弥补的损失前就被发现,或是一开始便做好万全准备,才是身为区块链从业者的安全第一要义。

北京时间8月14日下午,CertiK安全技术团队发现DeFi匿名耕种项目Based官方宣布有攻击者通过调用Based智能合约中的某一个函数,将一号池(Pool 1)冻结,同时宣布将重新部署其一号池。

官方发布推特称,有黑客试图将“Pool1”永久冻结,但尝试失败。而“Pool1”将继续按计划进行。

中南财经政法大学盘和林:比特币上涨是一种泡沫:1月4日,中南财经政法大学数字经济研究院执行院长、教授盘和林在接受采访时表示,比特币是一种资产而非货币,比特币上涨是一种泡沫。比特币不可能作为主流的资产配置,但是会成为一项小众的藏品。他认为,数字货币本身不是货币,是一项资产,属于期货范畴。当下机构追捧的原因,一方面是因为趋势和本身的稀缺性,另一方面国外一些支付机构逐渐将比特币纳入支付体系,从而拥有了更多的使用场景。“比特币未来价格一定会大幅度波动,并不只是局限于上涨,也会下跌,所以,这种波动性会对数字货币概念股带来对应风险。况且,在我国一些数字货币是非法的,还有合规性风险。A股区块链概念股要重技术,区块链本身有一定的应用场景。投资人还是把握技术主线,忽略数字货币的价格波动。”(时代财经)[2021/1/4 16:25:36]

CertiK通过分析该智能合约,认为这次冻结Based项目一号池事件,是一次由于存在智能合约漏洞导致的事故。

DeFi 概念板块今日平均涨幅为2.00%:金色财经行情显示,DeFi 概念板块今日平均涨幅为2.00%。47个币种中28个上涨,19个下跌,其中领涨币种为:RSR(+24.76%)、NEST(+19.16%)、SUSHI(+12.70%)。领跌币种为:CRV(-5.73%)、YFII(-5.10%)、WAVES(-5.01%)。[2021/1/2 16:15:03]

Based团队部署一号池智能合约,部署地址为0x77caF750cC58C148D47fD52DdDe43575AA179d1f。

Based官方通过调用智能合约中的renounceOwnership函数来声明智能合约所有者,但未进行智能合约初始化。

由于在Based智能合约中initialize函数被错误的设置为可以被外部调用,因此造成在初始化智能合约过程中,一号池的智能合约被外部攻击者用错误的值初始化。

错误的初始化造成Based官方无法再次初始化一号池的智能合约,因此造成一号池被冻结,任何质押行为都无法完成。

Based官方决定放弃该智能合约,重新部署一号池智能合约。 

1. Based团队在部署智能合约后,没有及时的调用下图的initialize函数来初始化智能合约的设置:

2. 外部调用者利用Based团队在部署和初始化智能合约之间的时间差,乘机调用了下图中671行被错误设置调用范围的initialize函数,抢先初始化了一号池的智能合约:

3. 上图两个initialize函数都是由initializer的修饰符修饰。根据其中代码,如果调用了其中一个initialize函数,另外一个initialize函数就无法被调用。initializer修饰符代码如下图所示,这造成了Based官方失去了初始化函数的机会:

4. 综上因素,Based智能合约无法被官方正确初始化,因此任何质押行为都无法进行。

质押失败的交易记录:

该次事件本质上是由智能合约漏洞导致的,但如果Based团队提早注意到这个漏洞,提前初始化智能合约,可以完全规避这次危险,避免一号池被冻结。因此,CertiK安全技术团队提出如下建议:

部署智能合约时应准备好初始化智能合约所需要的命令脚本等工具,及时初始化智能合约,避免攻击者利用部署操作和初始化操作之间的时间差,抢先初始化或者恶意操纵智能合约。

开发者应精通智能合约的运行原理和技术细节,不要盲目的采用其他的智能合约代码。

可邀请专业的第三方安全团队或内部安全专家对其智能合约进行审计,保证智能合约的安全性和可靠性。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

狗狗币150家加密企业 35亿身家 “加密之王”Barry Silbert 如何搭建数字货币帝国?

8月15日,灰度投资公司宣布其电视广告视频投放之后,创下了有史以来筹款表现最好的单周记录,共获得了2.17亿美元的投资。截至8月 18 日,灰度资产管理总规模已达到 61 亿美元,灰度比特币信托(GBTC)总持仓量已突破40万枚BTC。 毫无疑问,灰度公司已经俨然成为了加密货币领域的一只“巨鲸”,吞下了比特币市场的重要资产份额。

MANA一文看懂Hyperledger和Interledger在未来国际支付系统中的作用

全球许多金融和其他公司正在探索或积极采用区块链技术进行国际支付。区块链技术的激增引起了人们对不同区块链之间的市场碎片化和互操作性的担忧。因此,即便区块链分布式分类帐技术处于相对早期阶段,但也有人已在努力标准化区块链技术和规范并开发允许不同区块链之间进行通信的协议。这样有个潜在的好处是允许支付在不同的国际支付网络之间快速转移,从而实现更快的全球支付。

USDCDeFi中用户与资产飙涨的流动性挖矿 天使or魔鬼?

要说这两个月圈内最火的话题,非DeFi莫属。 在DeFi圈里你要再找一个最火的话题,那么一定会是“流动性挖矿”这五个字。 这五个字,动不动就和几亿甚至几十亿美金的资金相关联。我们中国圈内人一听到这五个字,脑子首先浮现出来的往往是已经失败的“Fcoin”这个字眼。

波场历史总是惊人的相似 谨防再现“假突破”

各级别性质:日线-上涨,4小时-盘整(偏多格局),1小时-盘整(偏多格局) 截图来自OKEX BTC/USDT永续合约6小时图:对于行情从两个角度来说,一个角度是客观的走势状态以及根据客观走势所制定的应对策略,另外一个角度是基于经验的主观预判。

[0:0ms0-0:531ms