ISS:假如川普可以虛假計票：Mercurity.finance智能合約安全漏洞分析_ACT

今年美國大選雖說有了廣泛意義上的塵埃落定，但競選結果并未明確。如今拜登團隊宣布勝選，美國媒體紛紛宣布拜登當選下屆美國總統。而另一方面，川普拒絕接受敗選結果，他持續進行計票，并宣稱要采取法律行動。造成如今這個混亂結果的首要原因在于美國沒有設立獨立的對大選事務具有權力的權威性的選舉委員會，在默認情況下，是新聞機構承擔了這個角色。假如川普獲得過大的權力，控制了大多新聞機構，營造虛假選票，結果尚未可知。這就意味著某種程度上，可以說是極盡中心化的“推特治國”后的又一“媒體選舉”。從選舉，到互聯網，到區塊鏈，2020年，中心化不再是權威的體現，而是“獨斷”、“專權”的代名詞。北京時間11月9日，CertiK安全研究團隊發現DeFi項目Mercurity.finance智能合約代碼部分存在中心化風險。項目擁有者擁有過大權限，可以進行任意數目的鑄幣，并為給定賬戶提供任意數目的獎勵。技術步驟分析如下：ERC20Token.sol代碼地址：https://github.com/MER-DAO/MEE-core/blob/main/contracts/tokens/ERC20Token.sol部署地址：https://etherscan.io/address/0xe1b583dc66e0a24fd9af2dc665f6f5e48978e106#code

Uniswap基金會治理主管：V4 代碼受 BSL 保護，部署需待坎昆升級和審計后:7月6日消息，Uniswap 基金會治理主管 Erin Koen 在 Uniswap 治理論壇發文稱，V4 代碼與 Uniswap v3 一樣受商業源代碼許可證（BSL）管轄，該許可證禁止 V4 代碼庫的商業或生產使用，除非授予額外使用授權。

此外，Erin Koen 發布了 V4 啟動的預計時間表，其協議代碼已于 6 月 13 日公布；協議代碼凍結取決于 EIP-1153 成功集成至坎昆升級中的時間，預計最早將于 9 月發生；協議代碼部署前將接受審計，目前還無法確定審計過程將需要多久，預計范圍為一個月到四個月不等。[2023/7/6 22:21:27]

HT短線上漲，1小時漲幅超8%:金色財經報道，行情顯示，HT短線上漲，1小時漲幅超8%，現報2.94美元，最高達2.96美元，日內由跌轉漲。行情波動較大，請做好風險控制。金色財經此前報道，孫宇晨今日發文稱李林弟弟李偉多次通過不正常手段大量獲取零成本HT并拋售，李林回應稱，希望火必提供證據，如果確認屬實個人賠付10倍的HT給火必公司。[2023/5/16 15:06:36]

圖一：ERC20Token智能合約構造函數

圖二：onlyIssuer修飾詞

阿里云：香港可用區C某機房設備異常，工程師已在緊急處理中:金色財經報道，今日，阿里云發布公告稱，阿里云監控發現香港地域某機房設備異常，影響香港地域可用區C的云服務器ECS、云數據庫PolarDB等云產品使用，阿里云工程師已在緊急處理中。[2022/12/18 21:52:29]

圖三:具有鑄幣方法的issue函數如圖一所示，項目擁有者在ERC20Token.sol智能合約中的構造函數可以將自身設置為issuer身份。由于在智能合約部署時，其構造函數會被自動執行，因此項目擁有者會自動成為issuer。通過圖二中顯示的onlyIssuer修飾詞的限制，任意擁有issuer身份的外部調用者將可以執行任意被onlyIssuer修飾詞修飾的函數。因此，擁有issuer身份的項目擁有者可以執行圖三中具有鑄幣方法的issue函數，從而可以為任意賬戶鑄造任意數目的代幣。除此之外，該項目還存在一個允許項目擁有者提供代幣獎勵的后門。該后門存在與AwardContract.sol智能合約中。AwardContract.sol代碼地址：https://github.com/MER-DAO/MEE-core/blob/main/contracts/AwardContract.sol部署地址：https://etherscan.io/address/0x8Ea43ce113456f45defd0E27e809d719b9CA2362#code

阿提哈德航空公司將推出獨家NFT系列Ey-zero1:金色財經報道，據阿提哈德航空公司官方消息，該航空公司將于2022年7月21日推出獨家NFT系列Ey-zero1。據悉，NFT系列僅限于2003年的收藏品，象征著阿提哈德成立的那一年。它擁有十個高度詳細的 3D 飛機模型，每一個都展示了獨特的阿提哈德波音 787 夢幻客機涂裝，包括 Greenliner 和標志性的曼城主題飛機。EY-ZERO1 將于 2022 年 7 月 21 日 UTC 下午 2 點開始銷售。僅限 2003 個收藏品，每個 NFT 售價為 349 美元。此次拍賣將于 2022 年 8 月 18 日下午 2 點 UTC 結束，所有剩余的未售出 NFT 將從收藏中剔除。[2022/7/7 1:58:02]

圖四：AwardContract智能合約構造函數

圖五：onlyGovernor修飾詞

圖六：addFreeAward智能合約函數當AwardContract.sol被項目擁有者部署到區塊鏈上時，AwardContract合約的構造函數會被自動執行，也就意味著圖四中43行代碼被自動執行后，項目擁有者會自動被賦予governor身份。擁有governor身份的外部調用者可以類似的執行任意被onlyGovernor修飾詞修飾的智能合約函數，例如圖六中所示addFreeAward函數。由于所有外部調用者都可以通過調用圖七中withdraw函數來將屬于自己的獎勵取出，因此當governor身份的外部調用者為某一個賬戶添加了某一數量的獎勵后，A賬戶可以對該函數進行調用，并通過246行的判斷條件檢查后，通過在281行調用safeIssue()函數來取出被添加的獎勵。

圖七：withdraw智能合約函數綜上分析，Mercurity.finance項目中智能合約存在的后門漏洞均來自于項目擁有者權限過大。在該類中心化治理機制中，項目擁有者得到了可以隨時獲利或者摧毀項目經濟系統的權利。CertiK安全研究團隊建議Mercurity.finance更新項目中采用的治理系統，引入社區管理的機制。CertiK在此提醒廣大用戶：1.合約代碼需要經過嚴格的安全驗證和審計才可被允許公布。2.投資者在投資采用中心化治理機制的項目時需衡量風險，謹慎投資

Tags：ISSONTACTRACSwissBorgQuontralSociety of Galactic ExplorationTRACE幣

幣安下載