NCE:CertiK：SushiSwap仿盤YUNO與KIMCHI智能合約漏洞或存安全隱患

北京時間8月31日和9月1日，CertiK安全研究團隊發現Sushiswap仿盤的兩個項目YUNoFinance(YUNO)與KIMCHI.finance(KIMCHI)，其智能合約均存在漏洞。如果利用該漏洞，智能合約擁有者可以無限制地增發項目對應的代幣數目，導致項目金融進度通脹并最終崩潰。

無限增發漏洞

CertiK：自上周五以來記錄了22起事件，造成約740萬美元的損失:金色財經報道，據CertiK官方推特發布消息稱，自上周五以來，CertiK記錄了22起事件，造成約740萬美元的損失。到目前為止，共發生17起Discord黑客攻擊事件、3 起網絡釣魚攻擊事件和4起Twitter黑客攻擊事件。[2023/8/12 16:21:31]

以Yuno項目中智能合約為例，CertiK安全研究團隊對于該無限增發漏洞進行了詳細分析，技術細節如下：在Yuno項目中的MasterChef.sol智能合約第1354行中，dev方法可以允許當前擁有devaddr身份的智能合約調用者，將devaddr身份轉移給另外一個地址。

CertiK：EOA地址0x35fEf將400枚BNB轉至Tornado Cash:金色財經報道，據CertiK官方推特發布消息稱，EOA地址（0x35fEf）將400枚BNB（約9.97萬美元）轉至Tornado Cash，該筆資金來自6月19日被大量出售的IPO代幣。[2023/6/21 21:51:44]

截圖出自：https://etherscan.io/下圖中可以看到在智能合約1282行的mint方法是由修飾器onlyOwner進行限制，修飾器onlyOwner決定了只能是智能合約擁有者來執行這個合約。

yinsure.finance將提供Balancer等相關保險產品，無需KYC/AML:yearn.finance在推特發布yinsure.finance更新信息（目前請勿使用）：涵蓋Balancer、Compound、Curve、Synthetix和yearn.finance的保險合約部署，無需KYC/AML。以NFT（基于ERC721）的形式將保險單代幣化。承保人是Nexus Mutual。根據官方昨日的推文，yinsure.finance正在針對這些產品完成測試和實際演練，然后將面向有限的用戶開放。

yearn創始人Andre Cronje表示，保險單代幣化意味著可以由一般市場進行風險調整。這也意味著分銷商可以在二級市場上購買和轉售，同時允許將來有其他基于保險的衍生產品。

據此前報道，8月17日，Cronje宣布推出去中心化的保險類服務原型yinsure.finance，將于接下來的幾周里系統性地發布產品。該產品將包含三個核心部分：承保人金庫、投保人金庫和索賠治理。承保人金庫的保險服務是由流動性提供方（LP）提供的，但是可以獲得相關的費用作為收入。首個上線的承保人金庫是yiUSDC，首個提供的投保人金庫是yVault中的yUSD（包裹的yCRV）資產。[2020/8/30]

mStable將在未來兩周內向三個Balancer資金池分發32.5萬 MTA:據官方消息，穩定幣聚合協議mStable（MTA）宣布將在接下來的11天內向 Balancer 上的三個資金流動池（mUSD/USDC、mUSD/WETH 以及 mUSD/MTA）提供流動性的用戶分發32.5萬枚MTA （價值約110萬美元）。八月份之后后，mStable將根據項目開放式獎勵池規則來重置和自動執行獎勵。[2020/7/21]

以上三截圖均出自：https://etherscan.io/擁有devaddr身份的調用者，當其身份恰好同時為owner身份的時候，可以通過調用MasterChef.sol智能合約1282行的mint方法，來無限制的增發代幣。1282行的mint方法會繼續調用1130行的mint方法，并繼續由1130行mint方法調用1044行的_mint方法，并最終完成代幣增發的操作。Kimichi項目智能合約中存在的無限增發漏洞與以上漏洞基本相同，因此在這里不進行重復敘述。如果owner和devaddr的地址如果相同，那么在外部沒有對智能合約擁有者限制的情況下，智能合約擁有者擁有權利增發任意數量的代幣，這將會將投資者置于風險之中。那么Yuno和Kimichi這兩個項目中的devaddr和owner是否為同一人呢？是否有其他外部制約機制可以限制這兩個項目的智能合約擁有者呢？下圖為Yuno項目MasterChef.sol智能合約中擁有devaddr和owner身份的地址。

截圖出自：https://etherscan.io/下圖為Kimichi項目中KimchiChef.sol智能合約中擁有devaddr和owner身份的地址。

截圖出自：https://etherscan.io/從上兩圖中可以看到，Yuno項目中擁有devaddr和owner身份的地址為同一個，因此其智能合約擁有者有權利進行無限制的代幣增發。而Kimichi項目中擁有devaddr和owner身份不同，但由于devaddr的身份可以進行轉移，因此也存在一定的風險。目前措施

為了確保無限增發漏洞不會被觸發，對于Yuno和Kimichi兩個項目的智能合約擁有者必須由外部進行限制。當前已經實施的限制條件與Sushiswap項目一致，即對任何由智能合約擁有者進行的智能合約操作，均有48小時的延遲。任何來自智能合約擁有者的操作都會被所有投資者觀察到，并有48小時進行應對操作。CertiK安全團隊建議

當前DeFi以及相關Farming項目異常火爆，由于區塊鏈項目對于項目代碼公開性有要求，因此上線新項目門檻極低。如果盲目借鑒其他項目，任意漏洞都可能被引入到項目中。因此在項目上線之前，應該對項目進行嚴格的安全審計。從投資者角度，當前Farming項目動輒百分之幾千的回報率，極易促使投資者在沒有對項目本身有足夠了解的情況下進行盲目投資。例如SushiSwap，Yuno以及Kimchi三個項目均沒有經過嚴謹的安全驗證就快速上線。投資者可能會被巨大的利益回報迷惑，將寶貴資金投入到有極大風險的智能合約中。

Tags：NCEANCCERDEVSwiftlance tokenMOYU FinanceSoccer VsDevere

MANA