北京时间8月28日,CertiK安全研究团队发现sushiswap项目智能合约中存在多个安全漏洞,该漏洞可能被智能合约拥有者利用,允许拥有者进行包括将智能合约账户内的代币在没有授权的情况下取空等操作在内的任意操作。同时该项目智能合约还存在严重的重入攻击漏洞,会导致潜在攻击者的恶意代码被执行多次。
技术步骤:
MasterChief.sol:131 https://github.com/sushiswap/sushiswap/blob/master/contracts/MasterChef.sol
美国银行CEO称该银行不急于涉足加密货币领域:5月30日消息,美国银行似乎不会在短期内大举进军加密货币领域。在世界经济论坛上,当问及美国银行(Bank of America)首席执行官Brian T. Moynihan“如果该公司不积极进军加密货币市场,是否会觉得错过了下一件大事”,Moynihan表示并没有。Moynihan解释称:“该银行受到严格监管,这阻止了对加密货币的全面投资。”此外,他强调了该银行在数字化方面取得了重大进展,并透露该银行在区块链上拥有“数百项”专利。
据悉,美国银行仅限于研究交易方面的加密货币,但它还不能管理客户的数字资产账户。 此前消息,该银行于去年7月成立了专门的加密研究团队。(雅虎财经)[2022/5/30 3:50:16]
在sushiswap项目智能合约的MasterChief.sol智能合约的131行中,智能合约的拥有者可以有权限来设定上图中migrator变量的值,该值的设定可以决定由哪一个migrator合约的代码来进行后面的操作。
Trister’sLend将于9月13日开启创世头矿:据TristerWorld官方消息,去中心化开放式借贷协议Trister’sLend将于2021年9月13日00:00:00(UTC+8)开启TWFI头矿,并同步开始等值60万USDT存款奖励活动。据悉,Trister’s Lend已通过美国安全机构CertiK合约审计,目前已开通USDT、HUSD、HBTC、HT、ETH、HFIL等12种市场主流资产存/取款借贷挖矿;计划推出“Genesis Minging”并开启TWFI质押、DAO董事会治理等功能。
Trister’s Lend是由Trister团队打造的去中心化、安全、开放式的加密资产抵押借贷协议。[2021/9/12 23:19:31]
MasterChief.sol:136 https://github.com/sushiswap/sushiswap/blob/master/contracts/MasterChef.sol
当migrator的值被确定之后,上图中142行的代码,migrator.migrate(lpToken)也就被随之确定,由migrate的方法是通过IMigratorChef的接口来进行调用的,因此在调用的时候,migrate的方法中的逻辑代码会根据migrator值的不同而变化。
简而言之,如果智能合约拥有者将migrator的值指向一个包含恶意migrate方法代码的智能合约,那么该拥有者可以进行任何其想进行的恶意操作,甚至可能取空所有的账户内的代币。
同时,在上图142行中执行结束migrator.migrate(lpToken)这一行代码后,智能合约拥有者也可以利用重入攻击漏洞,再次重新执行从136行开始的migrate方法或者其他智能合约方法,进行恶意操作。
当前sushiswap项目创建者表示已经将该项目加入了时间锁定(timelock)合约的显示,即任意sushiswap项目智能合约拥有者的操作会有48小时的延迟锁定。
该漏洞的启示:
智能合约拥有者不应该拥有无限的权利,必须通过社区监管(governance)来限制智能合约拥有者并确保其不会利用自身优势进行恶意操作;
智能合约代码需要经过严格的安全验证和检查之后,才能够被允许公布。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。