CertiK：SushiSwap智能合約漏洞事件分析_RAT

北京時間8月28日，CertiK安全研究團隊發SushiSwap項目智能合約中存在多個安全漏洞。該漏洞可能被智能合約擁有者利用，允許擁有者進行包括將智能合約賬戶內的代幣在沒有授權的情況下取空等操作在內的任意操作。同時該項目智能合約還存在嚴重的重入攻擊漏洞，會導致潛在攻擊者的惡意代碼被執行多次。技術解析

CertiK：警惕推特上的Baby Pepe虛假空投宣傳:金色財經報道，據CertiK發布消息稱，警惕推特上的Baby Pepe虛假空投宣傳，請用戶切勿與其鏈接互動，該虛假空投宣傳的網站會連接到一個已知的自動盜幣地址。[2023/7/7 22:24:16]

Larry Cermak：BTC與股市之間的相關性有所減弱:The Block分析師Larry Cermak發推稱，BTC與股市之間的相關性現在有所減弱，但顯然還是存在的。[2020/3/20]

MasterChief.sol:131圖片來源：https://github.com/sushiswap/在SushiSwap項目MasterChief.sol智能合約的131行中，智能合約的擁有者可以有權限來設定上圖中migrator變量的值，該值的設定可以決定由哪一個migrator合約的代碼來進行后面的操作。

聲音 | 趙長鵬回應Larry Cermak：調整BNB銷毀計劃與監管無關:趙長鵬發推就The Block分析師Larry Cermak對“幣安調整BNB銷毀計劃，放棄團隊BNB份額”的分析做出回應。趙長鵬表示：直到第六條為止都是很棒的思路及數據。認為這與監管有關的假設是完全錯誤的。從第七條開始就是“危言聳聽”（FUD，恐懼、不確定、懷疑）了。（調整計劃的）主要原因是不再需要擔心團隊解鎖和拋壓，現在這已經不可能了。 據悉，The Block分析師Larry Cermak此前就“幣安調整BNB銷毀計劃，放棄團隊BNB份額”展開分析。分析的第七條內容主題為：深信幣安作出這項改變是出于監管合規的考慮。[2019/7/13]

MasterChief.sol:136。圖片來源：https://github.com/sushiswap/當migrator的值被確定之后，migrator.migrate(lpToken)也就可以被隨之確定。由migrate的方法是通過IMigratorChef的接口來進行調用的，因此在調用的時候，migrate的方法中的邏輯代碼會根據migrator值的不同而變化。簡而言之，如果智能合約擁有者將migrator的值指向一個包含惡意migrate方法代碼的智能合約，那么該擁有者可以進行任何其想進行的惡意操作，甚至可能取空賬戶內所有的代幣。同時，在上圖142行中migrator.migrate(lpToken)這一行代碼執行結束后，智能合約擁有者也可以利用重入攻擊漏洞，再次重新執行從136行開始的migrate方法或者其他智能合約方法，進行惡意操作。該漏洞的啟示

·智能合約擁有者不應該擁有無限的權利，必須通過社區監管及治理(governance)來限制智能合約擁有者并確保其不會利用自身優勢進行惡意操作。·智能合約代碼需要經過嚴格的安全驗證和檢查之后，才能夠被允許公布。當前SushiSwap項目創建者表示，已將該項目遷移到時間鎖定合約，即任意SushiSwap項目智能合約擁有者的操作會有48小時的延遲鎖定。在此CertiK技術團隊建議大家在智能合約公布前，盡量尋找專業團隊做好審計工作，以免項目出現漏洞造成損失。

Tags：RATCERATOATORSewer Rat Social Club CHIZ TokenDSOCCER幣MEANTAMATO價格ATOR幣

火必下載