“亡羊補牢,為時未晚”,這句話在生活中的大部分時候均適用。然而,在面臨網絡安全時,牢破也許就會造成無法挽回的損失。在安全問題未造成不可彌補的損失前就被發現,或是一開始便做好萬全準備,才是身為區塊鏈從業者的安全第一要義。北京時間8月14日下午,CertiK安全技術團隊發現DeFi匿名耕種項目Based官方宣布有攻擊者通過調用Based智能合約中的某一個函數,將一號池凍結,同時宣布將重新部署其一號池。官方發布推特稱,有黑客試圖將“Pool1”永久凍結,但嘗試失敗。而“Pool1”將繼續按計劃進行。CertiK通過分析該智能合約,認為這次凍結Based項目一號池事件,是一次由于存在智能合約漏洞導致的事故。
CertiK:5月份記錄了35次重大攻擊,總損失約為7330萬美元:金色財經報道,據CertiK監測,5月份記錄了35次重大攻擊,總損失約為7330萬美元。[2023/6/3 11:55:27]
事件經過
Based團隊部署一號池智能合約,部署地址為0x77caF750cC58C148D47fD52DdDe43575AA179d1f。Based官方通過調用智能合約中的renounceOwnership函數來聲明智能合約所有者,但未進行智能合約初始化。由于在Based智能合約中initialize函數被錯誤的設置為可以被外部調用,因此造成在初始化智能合約過程中,一號池的智能合約被外部攻擊者用錯誤的值初始化。錯誤的初始化造成Based官方無法再次初始化一號池的智能合約,因此造成一號池被凍結,任何質押行為都無法完成。Based官方決定放棄該智能合約,重新部署一號池智能合約。智能合約技術細節
CertiK:cypher_protocol Discord服務器已被入侵:金色財經消息,據CertiK監測,cypher_protocol Discord服務器已被入侵。在團隊確認已重獲對服務器的控制之前,請勿點擊任何鏈接。[2023/5/25 10:38:40]
1.Based團隊在部署智能合約后,沒有及時的調用下圖的initialize函數來初始化智能合約的設置:
Polygon 和 Cere Network 推出 Web3 媒體平臺 DaVinci:金色財經報道,Polygon 和去中心化數據云平臺Cere Network 宣布推出一個 Web3 媒體平臺 DaVinci,該平臺的使命是更安全地存儲 NFT 支持的資產,并確保可驗證和真正去中心化的數據。
DaVinci 是一個直接的內容貨幣化平臺,用于 NFT 支持的體驗,旨在促進去中心化數據傳輸和 NFT 價值轉移。該平臺由 Cere 的 DDC 提供支持,可通過智能合約向 NFT 持有者提供個性化內容流。它利用部署在 Polygon 上的 NFT 挖礦平臺 Cere Freeport 來鑄造和銷售功能性 NFT,以提供對獨家內容的訪問。[2022/2/15 9:51:48]
2.外部調用者利用Based團隊在部署和初始化智能合約之間的時間差,乘機調用了下圖中671行被錯誤設置調用范圍的initialize函數,搶先初始化了一號池的智能合約:
非托管投資組合經理Balancer Labs籌集300萬美元:金色財經報道,非托管投資組合經理Balancer Labs在由Accomplice和Placeholder領導的種子輪融資中籌集了300萬美元。Balancer成立于2018年,最初是分析公司BlockScience旗下的一個項目。據悉,Balancer本質上是Uniswap自動做市商(AMM)模型的通用實現,并且該概念引起了開放金融生態系統參與者的廣泛興趣。[2020/3/25]
3.上圖兩個initialize函數都是由initializer的修飾符修飾。根據其中代碼,如果調用了其中一個initialize函數,另外一個initialize函數就無法被調用。initializer修飾符代碼如下圖所示,這造成了Based官方失去了初始化函數的機會:
4.綜上因素,Based智能合約無法被官方正確初始化,因此任何質押行為都無法進行。質押失敗的交易記錄:
如何避免事件發生
該次事件本質上是由智能合約漏洞導致的,但如果Based團隊提早注意到這個漏洞,提前初始化智能合約,可以完全規避這次危險,避免一號池被凍結。因此,CertiK安全技術團隊提出如下建議:部署智能合約時應準備好初始化智能合約所需要的命令腳本等工具,及時初始化智能合約,避免攻擊者利用部署操作和初始化操作之間的時間差搶先初始化或者操縱智能合約。了解智能合約的運行原理和技術細節,不要盲目的采用其他的智能合約代碼。邀請專業的安全團隊對其智能合約進行審計,保證智能合約的安全性和可靠性。我們絕不僅僅是尋找漏洞,而是要消除哪怕只有0.00000000001%被攻擊的可能性。
Tags:CERBASBASEDBASELibreFreelencerAll Your BaseBASED幣coinbase官方下載
北京的天空又下起了雨,我剛剛和一個老友見面,他一直是我佩服的人才。可是這次見面他的心情卻布滿烏云,我聽了他給我講的故事,征求了他的意見,在此把這個故事給大家分享出來,可以給大家一些警示.
1900/1/1 0:00:00自從上次鑒叔分析完秘樂的傳銷騙局,后臺留言中懟我的人真不少。 還有個素質極低的滿嘴爆粗話。 有句俗話是這么說的:不要跟鍵盤俠爭論,他會把你拉到他的水平上,然后用他的經驗打敗你.
1900/1/1 0:00:00最近大家打開各種區塊鏈媒體網站和大V發言,基本上都是關于DeFi項目和項目代幣的內容,這個確實如此,近期的DeFi實在是太火爆了,昨晚隨手截了一下DeFi項目的幣,漲勢很是夸張.
1900/1/1 0:00:00編者按:本文來自區塊律動BlockBeats,Odaily星球日報經授權轉載。隨著DeFi的火熱,去中心交易平臺的數量急速攀升,DEX聚合交易平臺的重要性也隨之增加.
1900/1/1 0:00:00近日,一家名為“焦耳”的交易所成為幣圈媒體和社區議論的熱點,原因不是它帶來了怎樣的投資機會或者造福神話,而是因為部分投資者爆料該交易所無法提幣.
1900/1/1 0:00:00Overview概述項目優勢一:在過去一周整個去中心化交易所市場的整體交易額為15.85億美金,其中Uniswap過去一周交易額排名第一,交易總金額為7.3億美金.
1900/1/1 0:00:00