TEC:獨家 | Fairyproof Tech：“白帽拯救行動” 挽回10.9萬枚ETH

本文由Fairyproof Tech原創，授權金色財經獨家發布，轉載請注明出處。

熟悉DeFi生態的用戶都聽過Sushi，它是DeFi生態中知名的去中心化交易所，和Uniswap在圈內都是頂流的交易所項目。但和Uniswap專注交易的縱向發展路徑不同，Sushi除了交易所，也注重在其它領域布局。

拍賣就是Sushi除交易所之外布局的領域。而MISO就是Sushi開發的代幣發售平臺。這個平臺今年2月上線，迄今為止運營了6個多月，整體運行處于比較平穩的狀況。

但就在北京時間8月18日凌晨，多名海外的白帽黑客發現MISO平臺合約中存在安全漏洞，并聯手從眾籌資金池中拯救回10.9萬枚ETH（約合 3.5 億美元），使Sushi避免了一場潛在的災難。

獨家 | BTC 24h 鏈上交易量下降12.76%:據歐科云鏈OKLink數據顯示，BTC 24h 鏈上活躍地址數總計848169，較前日下降7.6% ；鏈上交易量總計532306.32 BTC，較前日下降12.76% ；鏈上交易筆數總計280603，較前日下降15.11% ；BTC鏈上活躍度下降。

截至上午10時，全網算力約為106.48EH/s，較前日下降3.64EH/s，全網算力呈下降趨勢。[2020/6/19]

以金額看，恐怕此次聯手行動是DeFi發展史上“最大的白帽拯救行動”。此次白帽拯救行動導致BitDAO在MISO平臺進行的荷蘭拍中的ETH資金池提前結束。

盡管事件得以妥善解決，沒有釀成大禍，但這次事件仍然給我們留下了很多值得深思的問題和教訓。

獨家 | 布洛克資本宋厚達：ICO過程中亂象是必然:針對“ICO過程中出現的亂象是什么原因造成的”這一問題，金色財經獨家采訪到布洛克資本宋厚達表示：“在挑戰人性的道路上，人類從來沒有贏過。一個團隊寫個白皮書，單靠融資就能拿到幾千萬，大到幾個億，絕大多數人都會選擇奢靡的生活，能踏實做事的少之又少。目前來看ICO的亂象其實也是在挑戰人性中的貪嗔癡，所以亂象是必然。這是其一。其二，ICO的模式中，投資者和項目方是單次博弈關系，而且投資者完全處于信息不對稱的弱勢方，這就造成項目方拿到錢后沒有后續的博弈機制來制衡項目方，項目方即使跑路投資者也沒有任何辦法，違約成本極低，而光靠道德的約束，必然是亂象叢生。其三，缺乏監管。面向公眾進行ICO的項目應該具備一定條件，這本來應該是各國監管部門的職責，但由于ICO發展太快，政策來不及落地，各種圈錢的空氣項目就冒了出來，直接導致政策的一刀切傾向。而游走在法律邊緣的ICO，亂也是必然。”[2018/9/8]

Fairyproof Tech對此次漏洞的細節分析如下：

獨家 | SHAWN SHA Block Value Fund：創富效應加劇ICO圈錢行為 需監管:針對“ICO亂象造成的原因”，金色財經就此事獨家采訪到SHAWN SHA，Block Value Fund(BV FUND)，他表示：“其實從2017年下半年開始，很多ICO項目瘋狂出現，各路牛鬼蛇神各顯神通斂財，有拿到錢后跑路國外的，還有拿錢不做事代碼不更新的，甚至還有些項目方拿了錢后轉身做投資機構的，等等亂象打擊了市場投資人的信心，也消耗了不少投資資本，更極大損害了ICO市場的信譽。創富效應顯著導致在目前全球經濟蕭條的情況下，很多不法投機者參與其中圈錢，這個行業亟待監管。”[2018/9/6]

這次出現安全漏洞的是MISO的荷蘭式拍賣合約。其拍賣合約地址為：

獨家 | 熊市導致黑客攻擊頻發 降維發布數字貨幣威脅預警:近期降維安全通過白細胞安全社區了解到有部分數字貨幣金融服務商遭受到有組織的黑客攻擊，成功攻擊的黑客可以通過這種方式從數字金融服務商竊取數字資產。降維安全通過分析發現這種方式表面上是一種比較常見的用戶攻擊方式，通過已經泄露的互聯網數據或者其他發生用戶數據泄露的數字金融服務商數據，利用數字金融服務商的防護弱點，黑客可以獲得部分用戶賬戶密碼登錄進系統，然后利用近期熊市流動性差的特點進行小幣種下單交易，從而竊取用戶的數字資產。

降維安全建議數字金融服務商短期可以排查用戶投訴和登錄行為是否存在異常，使用高強度的認證措施提升用戶安全門檻，長期可以定期對系統進行完全的審計甚至必要的用戶行為分析，防止用戶被攻擊。[2018/9/4]

0x4c4564a1FE775D97297F9e3Dc2e762e0Ed5Dda0e

在合約中，首要存在漏洞的是delegatecall函數調用。

delegatecall函數所執行的交易是外部傳入的。本合約代碼對delegatecall的調用使得每個交易在執行時，使用msg.value不會發生變化，因此調用者可以利用此漏洞支付一筆拍賣費用而提交多筆相同金額的拍賣訂單，這相當于免費參與多次拍賣。

這部分代碼在BoringBatchable.sol文件中，具體代碼如下所示：

除此以外，合約的退款邏輯放大了漏洞的攻擊力。

當拍賣超過上限即auctionSuccessful()條件成立時，合約會執行退款。這個邏輯結合上面的漏洞就產生了這樣的情景：

攻擊者免費參與拍賣，并設置拍賣金額超過上限，從而觸發合約的退款行為，取走拍賣中其他用戶的資金。

退款邏輯由DutchAuction.sol合約中的withdrawTokens()函數實現，其具體代碼如下所示：

這個安全漏洞最值得注意的地方是，它很早就已經被圈內認識了，并不是新發現的漏洞，因此其表現形式和特點對于成熟的審計公司而言是很容易被發現的。這樣的漏洞完全可以通過審計發現，而不用等到合約上線冒如此大的風險。畢竟并不是每一個項目都能這么幸運，得到白帽黑客的幫助。但每一個項目在上線前進行詳細的合約審計卻是每個項目團隊都應該做也必須做的。

因此我們再次提醒所有的項目方，做好項目審計是保障項目發展的第一要素。Fairyproof Tech永遠以嚴謹的態度和專業的技能為項目方提供踏實、周全的服務。

關于Fairyproof Tech：

Fairyproof Tech科技有限公司是一家專注區塊鏈生態安全的公司。Fairyproof Tech科技主要通過“代碼風險檢測+邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月，團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。

團隊成員參與發起并提交了以太坊領域的多項標準草案，包括ERC-1646、ERC-2569、ERC-2794，其中ERC-2569 被以太坊團隊正式收入。

團隊參與了多項以太坊項目的發起及構建，包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目， 并參與了多個項目的安全審計工作，在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。

作者：

Fairyproof TechCEO 譚粵飛

美國弗吉尼亞理工大學(Virginia Tech, Blacksburg, VA, USA) 工業工程（Industrial Engineering） 碩士(Master)。曾任美國硅谷半導體公司 AIBT Inc（San Jose, CA, USA） 軟件工程師，負責底層控制系統的開發、設備制程的程序實現、算法的設計，并負責與臺積電的全面技術對接和交流。自2011至今，從事嵌入式，互聯網及區塊鏈技術的研究，深圳大學創業學院《區塊鏈概論》課程教師，中山大學區塊鏈與智能中心客座研究員，廣東省金融創新研究會常務理事 。個人擁有4項區塊鏈相關專利、3本出版著作。

Tags：TECTECHECHFAIblockchaintechnology怎么讀Artificial Intelligence Technology NetworkeuropechainFaith Tribe

火必交易所