比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > NEAR > Info

ITH:首發 | Text.finance智能合約安全漏洞分析

Author:

Time:1900/1/1 0:00:00

北京時間11月12日,CertiK安全研究團隊發現DeFi項目text.finance智能合約代碼部分存在安全漏洞。

分析之前,先考考大家的眼力,看看下圖里面的文字說了什么。

如果看不清,不妨點擊圖片后把屏幕亮度調至最高。

有的時候,某些不想讓你看到的因素,正是通過排版或者這樣的方式,被刻意隱藏了起來。

接下來說說該項目中存在的兩處漏洞。大家不妨在閱讀文章的時候注意一下圖中的位置。

第一彈:項目擁有者可通過第一處漏洞,將指定數目代幣轉移到任意地址。

第二彈:項目擁有者可通過第二處漏洞,將任意投資者的流動性池中的資產強制轉移到項目擁有者的地址中。

LBank藍貝殼于5月3日20:00首發 CSPR(Casper),開放USDT交易:據官方公告,5月3日20:00,LBank藍貝殼上線 CSPR(Casper),開放USDT交易,同時并開放充值,資料顯示,Casper網絡是基于CasperCBC規范構建的第一個實時權益證明區塊鏈。Casper旨在加速當今企業和開發人員對區塊鏈技術的采用,同時確保隨著網絡參與者需求的發展,其在未來仍能保持高性能。[2021/5/3 21:19:51]

漏洞分析

textMiner.sol

部署地址:?

https://etherscan.io/address/0x9858728de38c914c2ea32484a113b6628d984a82#code

LBank藍貝殼于4月10日01:00首發 BOSON,開放USDT交易:據官方公告,4月10日01:00,LBank藍貝殼首發BOSON(Boson Protocol),開放USDT交易,4月9日23:00開放充值,4月12日16:00開放提現。上線同一時間開啟充值交易BOSON瓜分10,000 USDT。

LBank藍貝殼于4月10日01:00開啟充值交易BOSON瓜分10,000 USDT。用戶凈充值數量不少于1枚BOSON ,可按凈充值量獲得等值1%的BOSON的USDT獎勵;交易賽將根據用戶的BOSON交易量進行排名,前30名可按個人交易量占比瓜分USDT。詳情請點擊官方公告。[2021/4/7 19:54:33]

1.漏洞一

首發 | 歐科云鏈推出“天眼方案”推動鏈上安全系統再升級:8月28日,區塊鏈產業集團歐科云鏈宣布推出區塊鏈“天眼方案”,主要通過鏈上數據追蹤系統研發、對外技術支持、凝聚企業眾力等途徑,全面助力區塊鏈安全提升和產業平穩健康發展。

據了解,在“天眼方案”下,歐科云鏈集團將打造鏈上數據追蹤系統,通過溯源數字資產、監控非法交易等手段,全力遏制洗錢等非法行為;協助執法機關辦案,并為打造法務等區塊鏈系統提供技術支持;為聯盟鏈和基于各類業務的鏈上數據提供區塊鏈+大數據的解決方案。[2020/8/28]

項目擁有者在textMiner.sol智能合約1000行處實現了withUpdates()函數。該函數的的作用是可以將任意數量的為devaddr地址鑄造任意數量的代幣。而通過查看圖2中devaddr和項目擁有者owner的地址值,可以發現兩者相同,因此項目擁有者可以通過該漏洞為devaddr地址鑄造任意數目代幣。

首發 | Bithumb將推出與Bithumb Global之間的加密資產轉賬服務:Bithumb內部人士對金色財經透露,Bithumb推出和Bithumb Global之間的加密貨幣資產免手續費快速轉賬服務,每日加密貨幣資產轉賬限額為2枚BTC。此消息將于今日晚間對外公布。據悉,目前僅支持BTC和ETH資產轉賬。[2020/2/26]

同時,當前的devaddr地址擁有者可以通過圖3的dev()函數將devaddr地址值更換到另外一個地址,因此最終項目擁有者可以更換將devaddr地址值更換的方法,向任意地址中鑄造任意數目代幣。

雖然項目擁有者將圖1中的withUpdates()函數設置為不允許智能合約外部調用,但是卻有意地在圖4中919行實現了允許被外部調用的add()函數,然后通過921行代碼調用withUpdates()函數,從而實現向devaddr地址鑄造1000000000000000000000000000000數量代幣。

圖1:第1000行中的withUpdates()函數

圖2:devaddr地址以及項目擁有者owner地址

圖3:dev()函數

圖4:add()函數

2.漏洞二

圖5:emergencyWithdraw()函數

項目擁有者可以通過調用圖5中emergencyWithdraw()函數,將某一個特定地址投資者的某一個流動性池中的流動性資產全部取出,并轉移到項目擁有者的地址中。

該emergencyWithdraw()函數是一個基于正確的emergencyWithdraw()函數。因此就算審視合約者不惡意揣測,也很難說項目方不是惡意改寫,并添加了該漏洞。

從下圖6的對比中可以發現,Sushiswap允許投資者通過調用emergencyWithdraw()函數,緊急取出屬于自己的流動性資產,而在text.finance中卻僅允許項目擁有者來調用該函數,同時允許項目擁有者取出屬于任何投資者的流動性資產。

圖6:text.finance和sushiswap項目中emergencyWithdraw()函數實現對比

安全建議

CertiK安全研究團隊認為當投資者在對DeFi項目進行投資時,不僅需要對智能合約常見的代碼有所了解,更需要謹慎地審視具體代碼的實現邏輯。否則極易掉入類似該項目中的惡意漏洞陷阱當中。

對于非技術背景的投資者,更需要了解項目是否經過嚴謹的技術審計。從Text.finance項目的惡意漏洞中可以看出,盲目投資一個沒有經過嚴格審計的項目,或引發極大風險,并造成難以估量的損失。

CertiK是采用形式化驗證工具來證明智能合約可靠性的業內頂尖公司。公司內部審計專家將利用包括形式化驗證在內的多種軟件測試方法,結合一流的白帽黑客團隊提供專業滲透測試,從而確保項目從前端到智能合約整體的安全性。如你的項目需要保障,請發送郵件至或直接后臺留言進行免費咨詢及報價。于此同時,CertiK的新產品預言機及快速掃描,也將為鏈上項目進行實時打分并且出具快速掃描分數。

如果你需要查找某項目的信息及安全分數,請登錄CertiKFoundation官網的CertiKShield頁面進行瀏覽:https://shield.certik.foundation/

Tags:ITHADDWITHWITupbithoa.picsPaddycoinWITH價格Witcher Fans

NEAR
FIL:AOFEX已完成11月14日轉化分發FIL代幣的公告

尊敬的用戶: AOFEX已根據用戶FIL6持倉情況完成11月14日的轉化分發FIL代幣,用戶可在用戶中心-賬戶資產中查看詳情.

1900/1/1 0:00:00
GATE:Gate.io “天天理財”第35期USDG鎖倉理財明日開啟,年化最高15%

Gate.io全新理財福利產品——“天天理財”已于10月12日正式上線,每天中午12點至少一場理財福利,賺主流幣理財收益.

1900/1/1 0:00:00
TRA:外匯幣圈杠桿交易者的十大通病,你中槍了么?

我是鄭哥||進入這個圈子你的初衷?我最初追求的是暴富!披荊斬棘3年的我目前想通過這個市場實現財富保守增長、最佳期望是增長的速度能趕上物價膨脹、房價泡沫值、銀行利息、父母親老的速度即可.

1900/1/1 0:00:00
比特幣:比特幣可能突破2萬美元,在2021年經歷拋物線式增長

有件事不知道大家有沒有注意到,比特幣礦工收入已飆升至比特幣減半以來的最高水平。11月4日,礦工收入達到了2.08億美元,這是自2019年9月以來的最高記錄,而當時礦工的區塊獎勵是現在的兩倍.

1900/1/1 0:00:00
USD:彤欣言幣:11.13比特幣投資技巧如何用布林線指標尋找止損點位?

比特幣投資技巧如何用布林線指標尋找止損點位?交易在眾多技術分析指標中,BOLL指標屬于比較特殊的一類指標.

1900/1/1 0:00:00
FIL:原力區品牌商務總監柏禮:Slingshot 50萬枚FIL分發難解質押幣缺口問題

數據顯示,10月15日上線的去中心化存儲區塊鏈目前的有效算力已接近850PiB,而在10月19日左右,當中國多數Filecoin礦工停止了增長計劃時,該區塊鏈的有效算力為600PiB.

1900/1/1 0:00:00
ads