我們分析了Worldcoin代幣$WLD的智能合約0x163f8c2467924be0ae7b5347228cabf260318753,發現其存在一定的安全隱患,以下是關于代幣$WLD的相關風險詳解。
中心化方法
mintOnce函數
數據:某鯨魚昨天再次從Binance提取563,571枚XRP:金色財經報道,據Lookonchain監測,某鯨魚昨天再次從Binance提取563,571枚XRP(46.2 萬美元)。該鯨魚已從Binance提取總計200萬枚XRP(166 萬美元),平均提取價格為 0.51 美元,當前未實現利潤約為64萬美元。[2023/7/20 11:06:39]
該合約實現了一個中心化的鑄幣機制mintOnce,允許owner調用此函數一次性地對多個地址進行批量鑄幣。經查證,該函數已經被當前的owner調用過。
Web3基礎設施公司RISC Zero完成4000萬美元融資:金色財經報道,旨在幫助開發者開發零證明軟件的基礎設施公司RISC Zero在Blockchain Capital領投的A輪融資中籌集4000萬美元。
這些資金將幫助RISC Zero將其Bonsai 計算平臺推向市場。本輪融資的其他投資者包括Galaxy Digital、IOSG、RockawayX、Maven 11、Fenbushi Capital、Delphi Digital、alga
當前的owner是一個1/1多簽錢包合約:0x59a0f98345f54bAB245A043488ECE7FCecD7B596,且只有一個合約擁有者0xc534a745bFfaF9466Ed7B47fA23B0177b99A3e77,這意味著只需要一個簽名就可代表owner進行特權操作。
Cobo聯合創始人:Merkle Tree儲備證明方法存在缺陷,建議通過MPC-TSS方案改進:11月18日消息,Cobo聯合創始人兼CTO蔣長浩發文表示,Merkle Tree儲備證明方法存在一些基本缺陷,具體來說,中心化機構很容易通過一些路徑繞過這種儲備證明方法希望實現的無挪用檢查,如使用借貸資金通過審計或使用借貸資金通過審計。同時建議可通過“抽查式隨機審計”和“用MPC-TSS方案加速儲備證明”兩個方法改進,既可防止審計期間儲備證明被偽造,又不以泄露用戶信息為代價。[2022/11/18 13:22:02]
setMinter函數
該合約還實現了setMinter函數,允許owner設置一個minter地址,不過目前minter是零地址。
mintInflation函數
如果owner設置了一個非零minter,該minter就可以隨意調用mintInflation對任意地址無限量增發代幣。
代幣分配
經過統計,前6個地址已經持有了94.5%的總發行量,這說明代幣分配非常集中。
綜上所述,$WLD代幣存在以下安全隱患:
Owner目前只有一個簽名者,意味著只需要一個人的簽名就可以代表owner對合約進行特權操作
存在設置minter后無限增發代幣的風險
代幣分配過于集中,前6個地址持有絕大部分代幣
為降低這些安全風險,我們建議:
增加owner的簽名者數量,實施多簽管理
約束合約擁有者任意設置minter,防止無限增發
采取鎖倉或者持續釋放等措施,降低代幣分配的集中度
安全是區塊鏈生態健康發展的基石,我們會繼續關注項目安全,及時進行安全風險提示,共同維護鏈上資產安全。
MakerDAO的新協議可以幫助提高DAI的采用率。隨著MVRV比率上升,MKR的拋售壓力增加.
1900/1/1 0:00:00機構投資者似乎越來越多地轉向加密貨幣,因為最近資金大量涌入加密貨幣投資產品,其中以比特幣、以太坊和XRP為主的產品處于領先地位.
1900/1/1 0:00:00馬斯克(ElonMusk)周末將推特更名為X,周一(7月24日)更將推特頭像更換成X。他在今年3月將XCorp.設為推特的母公司,旨在實現類似于中國微信應用程序的愿景.
1900/1/1 0:00:00現在的行情很微妙,理論上這里就該一直跌,跌破各種分析師給出的支撐位,跌破大家的心理預期,市場情緒給了空軍很多機會,可能空軍再加加油多軍就徹底放棄抵抗,然而并沒有.
1900/1/1 0:00:00DeFi是當前區塊鏈應用市場上非常火爆的1個概念,說白了DeFi,它的全稱DecentralizedFinance,也就是去中心化金融信息服務.
1900/1/1 0:00:00l、從Layer1到Layer2技術上如何實現擴容?以太坊將Rollup看作唯一的Layer2方案,因為其在不損失去中心化和安全性的前提下實現了對以太坊的拓展.
1900/1/1 0:00:00