北京時間8月28日,CertiK安全研究團隊發現sushiswap項目智能合約中存在多個安全漏洞,該漏洞可能被智能合約擁有者利用,允許擁有者進行包括將智能合約賬戶內的代幣在沒有授權的情況下取空等操作在內的任意操作。同時該項目智能合約還存在嚴重的重入攻擊漏洞,會導致潛在攻擊者的惡意代碼被執行多次。
技術步驟:
LBank藍貝殼于4月9日16:50首發 BOSON:據官方公告,4月9日16:50,LBank藍貝殼首發BOSON(Boson Protocol),開放USDT交易,4月9日16:00開放充值,4月12日16:00開放提現。上線同一時間開啟充值交易BOSON瓜分10,000 USDT。
LBank藍貝殼于4月9日16:50開啟充值交易BOSON瓜分10,000 USDT。用戶凈充值數量不少于1枚BOSON ,可按凈充值量獲得等值1%的BOSON的USDT空投獎勵;交易賽將根據用戶的BOSON交易量進行排名,前30名可按個人交易量占比瓜分USDT。詳情請點擊官方公告。[2021/4/9 20:02:26]
MasterChief.sol:131 https://github.com/sushiswap/sushiswap/blob/master/contracts/MasterChef.sol
LBank藍貝殼于4月10日01:00首發 BOSON,開放USDT交易:據官方公告,4月10日01:00,LBank藍貝殼首發BOSON(Boson Protocol),開放USDT交易,4月9日23:00開放充值,4月12日16:00開放提現。上線同一時間開啟充值交易BOSON瓜分10,000 USDT。
LBank藍貝殼于4月10日01:00開啟充值交易BOSON瓜分10,000 USDT。用戶凈充值數量不少于1枚BOSON ,可按凈充值量獲得等值1%的BOSON的USDT獎勵;交易賽將根據用戶的BOSON交易量進行排名,前30名可按個人交易量占比瓜分USDT。詳情請點擊官方公告。[2021/4/7 19:54:33]
在sushiswap項目智能合約的MasterChief.sol智能合約的131行中,智能合約的擁有者可以有權限來設定上圖中migrator變量的值,該值的設定可以決定由哪一個migrator合約的代碼來進行后面的操作。
首發 | 螞蟻礦機S17真機圖首次曝光 采用雙筒風扇及一體機設計 ?:繼正式宣布在4月9日現貨銷售后,比特大陸即將發布的新品螞蟻礦機S17又有了新動態。據悉,螞蟻礦機S17真機圖今天在網上首次曝光。
從曝光的圖片來看,螞蟻礦機S17延續上一代產品S15的雙筒風扇設計,且采用一體機的機身設計。有業內人士認為,采用雙筒設計可有效縮短風程,礦機出入風口的溫差變小,機器性能將得到很大改善。
此前比特大陸產品負責人在接受媒體采訪時表示,新品S17較上一代產品相比,無論是在能效比還是單位體積的算力等方面,均有較大提升。[2019/4/3]
MasterChief.sol:136 https://github.com/sushiswap/sushiswap/blob/master/contracts/MasterChef.sol
當migrator的值被確定之后,上圖中142行的代碼,migrator.migrate(lpToken)也就被隨之確定,由migrate的方法是通過IMigratorChef的接口來進行調用的,因此在調用的時候,migrate的方法中的邏輯代碼會根據migrator值的不同而變化。
簡而言之,如果智能合約擁有者將migrator的值指向一個包含惡意migrate方法代碼的智能合約,那么該擁有者可以進行任何其想進行的惡意操作,甚至可能取空所有的賬戶內的代幣。
同時,在上圖142行中執行結束migrator.migrate(lpToken)這一行代碼后,智能合約擁有者也可以利用重入攻擊漏洞,再次重新執行從136行開始的migrate方法或者其他智能合約方法,進行惡意操作。
當前sushiswap項目創建者表示已經將該項目加入了時間鎖定(timelock)合約的顯示,即任意sushiswap項目智能合約擁有者的操作會有48小時的延遲鎖定。
該漏洞的啟示:
智能合約擁有者不應該擁有無限的權利,必須通過社區監管(governance)來限制智能合約擁有者并確保其不會利用自身優勢進行惡意操作;
智能合約代碼需要經過嚴格的安全驗證和檢查之后,才能夠被允許公布。
各級別性質:日線-上漲,4小時-盤整(偏多格局),1小時-盤整(偏多格局)截圖來自OKEX BTC/USDT永續合約6小時圖:對于行情從兩個角度來說.
1900/1/1 0:00:00這兩天最火熱的項目莫過于“壽司”Sushiswap 了。SushiSwap于8月27日推出,僅僅5天時間其鎖定資產總價值已超1.3B美元。然而也就是這5天時間,也將中心化交易所的窘態暴露出來.
1900/1/1 0:00:00截止到藍狐筆記寫稿時,Uniswap當前的流動性超過2.5億美元,日交易量接近1.5億美元,最近7天的交易量接近15億美元,日交易數超過10萬筆.
1900/1/1 0:00:00現在在全球范圍內出現了一些虛擬銀行。這些虛擬銀行或是按照當地監管的要求, 或是按照自己主動選擇的經營策略,它們不設立物理網點,只是采用技術手段來開展銀行業務.
1900/1/1 0:00:00SushiSwap這兩周發生的事情絕對是加密史上最跌宕起伏的故事之一。一開始,Sushiswap不僅分叉了Uniswap,還直接撬動Uniswap上最主要的DeFi代幣流動性,同時推出了Unis.
1900/1/1 0:00:008月17日,2020區塊鏈生態合作大會在上海舉行,中國銀保監會重點金融機構監事會監事陳偉鋼發表題為“區塊鏈政策導向與應用前景“的主題演講.
1900/1/1 0:00:00