BAS:CertiK：Based智能合約出現漏洞，重新部署其一號池事件分析_BASE

“亡羊補牢，為時未晚”，這句話在生活中的大部分時候均適用。然而，在面臨網絡安全時，牢破也許就會造成無法挽回的損失。在安全問題未造成不可彌補的損失前就被發現，或是一開始便做好萬全準備，才是身為區塊鏈從業者的安全第一要義。北京時間8月14日下午，CertiK安全技術團隊發現DeFi匿名耕種項目Based官方宣布有攻擊者通過調用Based智能合約中的某一個函數，將一號池凍結，同時宣布將重新部署其一號池。官方發布推特稱，有黑客試圖將“Pool1”永久凍結，但嘗試失敗。而“Pool1”將繼續按計劃進行。CertiK通過分析該智能合約，認為這次凍結Based項目一號池事件，是一次由于存在智能合約漏洞導致的事故。

Spencer Schiff：人工智能的發展導致比特幣未來幾年可能跌至接近零:金色財經報道，黃金支持者彼得·希夫（Peter Schiff）的兒子Spencer Schiff表示，比特幣不會對世界產生重大影響，未來幾年其價格可能會跌至接近零。Spencer Schiff多年來一直認為比特幣是一種出色的長期投資和通脹對沖工具，而他的父親是比特幣的批評者。

Schiff解釋稱：我觀點的轉變與熊市無關。去年年底比特幣觸底那天，我仍然非常看好比特幣。我甚至說服母親抄底，我不再關心比特幣的唯一原因是人工智能。如果沒有人工智能，我仍然認為比特幣的價格將達到每枚數千萬美元”。[2023/7/20 11:05:41]

Certihash 與 IBM 合作開發企業區塊鏈安全工具套件:金色財經消息，Certihash宣布了一個基于美國國家標準與技術研究院 (NIST) 網絡安全框架開發“Sentinel Node”的項目，這是一套由五個區塊鏈授權的企業實用程序應用程序中的第一個。Certihash 選擇 IBM Consulting 來協助軟件設計和開發。作為該項目的一部分，IBM Consulting 將使用經過驗證的網絡設計框架，并利用他們在向企業提供去中心化應用程序方面的豐富經驗，致力于最先進的去中心化網絡安全基礎設施。該應用程序的 MVP 版本計劃于 2022 年初秋推出。（finextra）[2022/4/28 2:37:35]

事件經過

CertiK完成3700萬美元B輪融資:區塊鏈安全公司CertiK周三宣布完成3700萬美元B輪融資，以擴大其加密貨幣和DeFi行業的產品和安全能力。此輪融資由Coatue Management和Shunwei Capital領投，Coinbase Ventures等參投。（Cointelegraph）[2021/7/14 0:52:25]

Based團隊部署一號池智能合約，部署地址為0x77caF750cC58C148D47fD52DdDe43575AA179d1f。Based官方通過調用智能合約中的renounceOwnership函數來聲明智能合約所有者，但未進行智能合約初始化。由于在Based智能合約中initialize函數被錯誤的設置為可以被外部調用，因此造成在初始化智能合約過程中，一號池的智能合約被外部攻擊者用錯誤的值初始化。錯誤的初始化造成Based官方無法再次初始化一號池的智能合約，因此造成一號池被凍結，任何質押行為都無法完成。Based官方決定放棄該智能合約，重新部署一號池智能合約。智能合約技術細節

動態 | NBA拒絕了籃球運動員Spencer Dinwiddie將其合同代幣化的要求:布魯克林籃網隊的籃球運動員Spencer Dinwiddie正在建立自己的加密公司，并試圖將他至少高達3436萬美元的續約合同轉變為數字代幣形式，以增加資本并確保未來收入。NBA最近拒絕了這一要求，稱不會將他的續約合同轉變為數字代幣投資工具。NBA表示：“按照合同規定，球員不可向任何第三方轉讓其從球隊獲得薪酬的權利。”（The Block）[2019/9/28]

1.Based團隊在部署智能合約后，沒有及時的調用下圖的initialize函數來初始化智能合約的設置：

2.外部調用者利用Based團隊在部署和初始化智能合約之間的時間差，乘機調用了下圖中671行被錯誤設置調用范圍的initialize函數，搶先初始化了一號池的智能合約：

3.上圖兩個initialize函數都是由initializer的修飾符修飾。根據其中代碼，如果調用了其中一個initialize函數，另外一個initialize函數就無法被調用。initializer修飾符代碼如下圖所示，這造成了Based官方失去了初始化函數的機會：

4.綜上因素，Based智能合約無法被官方正確初始化，因此任何質押行為都無法進行。質押失敗的交易記錄：

如何避免事件發生

該次事件本質上是由智能合約漏洞導致的，但如果Based團隊提早注意到這個漏洞，提前初始化智能合約，可以完全規避這次危險，避免一號池被凍結。因此，CertiK安全技術團隊提出如下建議：部署智能合約時應準備好初始化智能合約所需要的命令腳本等工具，及時初始化智能合約，避免攻擊者利用部署操作和初始化操作之間的時間差搶先初始化或者操縱智能合約。了解智能合約的運行原理和技術細節，不要盲目的采用其他的智能合約代碼。邀請專業的安全團隊對其智能合約進行審計，保證智能合約的安全性和可靠性。我們絕不僅僅是尋找漏洞，而是要消除哪怕只有0.00000000001%被攻擊的可能性。

Tags：BASBASECERBASEDcoinbase實名多久完成MBBASEDSoccer VsDotBased

比特幣交易所