北京時間8月28日,CertiK安全研究團隊發現sushiswap項目智能合約中存在多個安全漏洞,該漏洞可能被智能合約擁有者利用,允許擁有者進行包括將智能合約賬戶內的代幣在沒有授權的情況下取空等操作在內的任意操作。同時該項目智能合約還存在嚴重的重入攻擊漏洞,會導致潛在攻擊者的惡意代碼被執行多次。
技術步驟:
首發 | Bithumb將推出與Bithumb Global之間的加密資產轉賬服務:Bithumb內部人士對金色財經透露,Bithumb推出和Bithumb Global之間的加密貨幣資產免手續費快速轉賬服務,每日加密貨幣資產轉賬限額為2枚BTC。此消息將于今日晚間對外公布。據悉,目前僅支持BTC和ETH資產轉賬。[2020/2/26]
MasterChief.sol:131 https://github.com/sushiswap/sushiswap/blob/master/contracts/MasterChef.sol
首發 | 嘉楠耘智宣布與Northern Data在AI、區塊鏈等高性能計算領域達成戰略合作:據官方消息,2020年2月17日,嘉楠耘智宣布與區塊鏈解決方案及數據中心服務提供商Northern Data AG達成戰略合作。本次合作的內容涵蓋AI、區塊鏈及數據中心運維等高性能計算領域。
嘉楠耘智擁有豐富的高性能計算專用ASIC芯片研發經驗。Northern Data AG則專注于區塊鏈和數據中心等高性能計算基礎設施的建設。通過本次戰略合作,雙方將在AI、區塊鏈等新興領域進一步釋放增長潛能。[2020/2/19]
在sushiswap項目智能合約的MasterChief.sol智能合約的131行中,智能合約的擁有者可以有權限來設定上圖中migrator變量的值,該值的設定可以決定由哪一個migrator合約的代碼來進行后面的操作。
公告 | 火幣全球站6月29日16:00全球首發 Project PAI:火幣全球站定于新加坡時間6月29日16:00 Project PAI (PAI) 充值業務。7月2日16:00在創新區開放PAI/BTC, PAI/ETH交易。7月6日16:00開放 PAI提現業務。[2018/6/29]
MasterChief.sol:136 https://github.com/sushiswap/sushiswap/blob/master/contracts/MasterChef.sol
當migrator的值被確定之后,上圖中142行的代碼,migrator.migrate(lpToken)也就被隨之確定,由migrate的方法是通過IMigratorChef的接口來進行調用的,因此在調用的時候,migrate的方法中的邏輯代碼會根據migrator值的不同而變化。
簡而言之,如果智能合約擁有者將migrator的值指向一個包含惡意migrate方法代碼的智能合約,那么該擁有者可以進行任何其想進行的惡意操作,甚至可能取空所有的賬戶內的代幣。
同時,在上圖142行中執行結束migrator.migrate(lpToken)這一行代碼后,智能合約擁有者也可以利用重入攻擊漏洞,再次重新執行從136行開始的migrate方法或者其他智能合約方法,進行惡意操作。
當前sushiswap項目創建者表示已經將該項目加入了時間鎖定(timelock)合約的顯示,即任意sushiswap項目智能合約擁有者的操作會有48小時的延遲鎖定。
該漏洞的啟示:
智能合約擁有者不應該擁有無限的權利,必須通過社區監管(governance)來限制智能合約擁有者并確保其不會利用自身優勢進行惡意操作;
智能合約代碼需要經過嚴格的安全驗證和檢查之后,才能夠被允許公布。
Tags:RATATORSWAPHISWAPItalian Football FederationSatorWeboo SwapMinimal Initial SushiSwap Offering
未來兩年,在以太坊艱難升級的階段,一定會有幾條公鏈趁著老大休息而異軍突起,從當前來看波卡無疑是最具競爭力的那個.
1900/1/1 0:00:00隨著 Medalla 測試網上線,官方團隊鼓勵人們對不同的客戶端進行實驗。從創世的那一刻起,這么做的重要性便凸顯出來:Nimbus 和 Lodestar 節點因無法處理測試網的負載量而卡住??.
1900/1/1 0:00:00金色財經報道,8月25日消息,螞蟻集團已向上交所及港交所同步遞交上市招股文件。據招股書顯示,螞蟻集團擬在A+H發行的新股數量合計不低于發行后總股本的10%,發行后總股本不低于300.3897億股.
1900/1/1 0:00:00數脈鏈再添生態合作好消息近日,CyberVein與金山云簽署戰略合作。金山云是金山集團旗下企業,中國知名云計算服務提供商.
1900/1/1 0:00:00摩根大通首個區塊鏈項目Juno的前首席工程師Will Martino與Cointelegraph分享了對Consensys收購摩根大通旗下區塊鏈平臺Quorum的看法.
1900/1/1 0:00:00北京城市副中心黨工委副書記、北京城市副中心管委會副主任、通州區區委副書記、區長趙磊5日在“2020全球財富管理論壇——后疫情時代的財富管理”上表示.
1900/1/1 0:00:00