以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > 屎幣 > Info

CertiK:Based智能合約出現漏洞,重新部署其一號池事件分析_CER

Author:

Time:1900/1/1 0:00:00

“亡羊補牢,為時未晚”,這句話在生活中的大部分時候均適用。然而,在面臨網絡安全時,牢破也許就會造成無法挽回的損失。在安全問題未造成不可彌補的損失前就被發現,或是一開始便做好萬全準備,才是身為區塊鏈從業者的安全第一要義。北京時間8月14日下午,CertiK安全技術團隊發現DeFi匿名耕種項目Based官方宣布有攻擊者通過調用Based智能合約中的某一個函數,將一號池凍結,同時宣布將重新部署其一號池。官方發布推特稱,有黑客試圖將“Pool1”永久凍結,但嘗試失敗。而“Pool1”將繼續按計劃進行。CertiK通過分析該智能合約,認為這次凍結Based項目一號池事件,是一次由于存在智能合約漏洞導致的事故。

新加坡金管局公布最新國際技術咨詢委員會成員,CertiK聯創受邀加盟:金色財經報道,新加坡金融管理局(MAS)于近日公布了最新國際技術咨詢委員會委員。新加坡金融管理局(MAS)成立于1971年,其職能綜合了對于貨幣、銀行、證券、保險諸多金融領域及部門的管理和監管。據悉,該委員會成立于2016年,由世界頂級金融機構的首席創新科學家、金融科技企業領導者、風險資本家以及技術和創新領域的領袖組成,旨在為金融科技的國際發展以及新加坡如何利用新技術來加強金融服務提供建議。

本屆新任15位成員均為行業領軍人物,除了微軟、萬事達、摩根大通、亞馬遜、倫敦證交所組織機構等高管,Web3.0領域內的安全專家——CertiK聯合創始人顧榮輝教授也受邀加盟。這也是繼香港成立Web3.0發展專責小組后又一引入Web3.0業內領軍人物加入咨詢小組的政府行為。[2023/7/3 22:14:25]

Balancer將為LSD協議StaFi的rETH-ETH池創建Gauge,BAL釋放上限為10%:2月8日消息,流動性質押衍生品協議 StaFi 在 Balancer 社區提議為以太坊上的 rETH-ETH 池創建一個 Balancer Gauge,BAL 釋放上限為 10%。StaFi 將使其 Balancer rETH-ETH 池成為以太坊主網上 rETH 的主要流動性來源。通過增強池的流動性,Balancer 將會從增加的交易費用中獲益。目前該提案已獲得 Balancer 社區投票通過。

StaFi 于 2020 年第三季度推出,重點是為以太坊和其他權益證明鏈(例如 Polygon、Solana 和 Polkadot)上的抵押資產帶來流動性。與其他 LSD 協議類似,StaFi 發行流動性收據 Toekn (rETH),代表用戶通過無許可的驗證器集在信標鏈上質押的以太坊份額。自推出以來,該協議已在 11 種 Token 中積累了價值超過 3600 萬美元的質押資產,并擁有 3439 個活躍驗證者。[2023/2/8 11:54:54]

事件經過

企業業務合同管理軟件供應商Icertis宣布完成1.5億美元的融資:金色財經報道,企業業務合同管理軟件供應商Icertis宣布完成1.5億美元的融資,其中包括7500萬美元的可轉換債務和7500萬美元的循環信貸額度。該筆融資將使Icertis通過加速人工智能、機器學習和區塊鏈等轉型技術的應用,進一步擴大公司在新興CLM類別中的領導地位。[2022/10/31 12:01:46]

Based團隊部署一號池智能合約,部署地址為0x77caF750cC58C148D47fD52DdDe43575AA179d1f。Based官方通過調用智能合約中的renounceOwnership函數來聲明智能合約所有者,但未進行智能合約初始化。由于在Based智能合約中initialize函數被錯誤的設置為可以被外部調用,因此造成在初始化智能合約過程中,一號池的智能合約被外部攻擊者用錯誤的值初始化。錯誤的初始化造成Based官方無法再次初始化一號池的智能合約,因此造成一號池被凍結,任何質押行為都無法完成。Based官方決定放棄該智能合約,重新部署一號池智能合約。智能合約技術細節

PantySwap官方稱CertiK未經證實,遷移所有者疑為死地址:官方消息,對于安全公司CertiK稱,PantySwap項目存在高風險,所有者(不是TimeLock)可以利用MasterChef的遷移功能來耗盡所有LP代幣,有跑路風險,警告不要參與。PantySwap轉發回復表示,正在與CertiK聯系解決這個問題,因為他們在這里談論“客觀審查”,而甚至是未經證實,并質疑其分享“未經證實”的說法。此外,多名網友回復稱遷移所有者是一個死地址,PantySwap對該說法進行了轉發。[2021/6/7 23:17:32]

1.Based團隊在部署智能合約后,沒有及時的調用下圖的initialize函數來初始化智能合約的設置:

2.外部調用者利用Based團隊在部署和初始化智能合約之間的時間差,乘機調用了下圖中671行被錯誤設置調用范圍的initialize函數,搶先初始化了一號池的智能合約:

3.上圖兩個initialize函數都是由initializer的修飾符修飾。根據其中代碼,如果調用了其中一個initialize函數,另外一個initialize函數就無法被調用。initializer修飾符代碼如下圖所示,這造成了Based官方失去了初始化函數的機會:

4.綜上因素,Based智能合約無法被官方正確初始化,因此任何質押行為都無法進行。質押失敗的交易記錄:

如何避免事件發生

該次事件本質上是由智能合約漏洞導致的,但如果Based團隊提早注意到這個漏洞,提前初始化智能合約,可以完全規避這次危險,避免一號池被凍結。因此,CertiK安全技術團隊提出如下建議:部署智能合約時應準備好初始化智能合約所需要的命令腳本等工具,及時初始化智能合約,避免攻擊者利用部署操作和初始化操作之間的時間差搶先初始化或者操縱智能合約。了解智能合約的運行原理和技術細節,不要盲目的采用其他的智能合約代碼。邀請專業的安全團隊對其智能合約進行審計,保證智能合約的安全性和可靠性。我們絕不僅僅是尋找漏洞,而是要消除哪怕只有0.00000000001%被攻擊的可能性。

Tags:CERBASBASEBASEDDEFILANCER價格coinbase交易所app下載base幣種BASED價格

屎幣
四川第二批水電消納企業披露,礦場合規落地第一年_區塊鏈

吳說區塊鏈獲悉,四川近期第二批水電消納產業示范區企業披露,其中“大數據”包括涼山州的潘達云計算科技有限公司、寧南云算氫能科技有限公司;以及雅安的天全云算科技有限公司、蘆山縣沄數科技有限公司、四川.

1900/1/1 0:00:00
工信部強調將區塊鏈用于數據安全,全國首個“區塊鏈律師調查令”上線_區塊鏈

文/王巧編輯/獨秀鋅鏈接作為首個提出產業區塊鏈的機構媒體,一直積極推動產業區塊鏈落地。通過深度報道直戳行業痛點,通過分享會聆聽行業聲音,通過周報呈現行業大觀,通過評論展現獨特產業觀察視角.

1900/1/1 0:00:00
本輪DeFi行情是礦工的陰謀?_以太坊

“強烈懷疑這次DeFi行情是礦工的陰謀”,數字貨幣資深玩家劉明在朋友圈打趣。礦工無疑是這次DeFi的最終贏家.

1900/1/1 0:00:00
鏈上顛覆廣告業態,重塑6000億市場信任機制_區塊鏈

區塊鏈技術被譽為繼蒸汽機、電力、信息和互聯網科技之后,目前最具潛力觸發第五輪顛覆性革命浪潮的技術。作為改變世界的高新技術之一,區塊鏈技術眾望所歸,在2020迎來了它的爆發之年.

1900/1/1 0:00:00
灰度年中報告:機構大幅加倉ETH、LTC、BCH,入場節奏快速提升_BTC

《加密資產投資報告》由灰度投資編撰,發布于2020年7月份,報告回顧了灰度投資2020年Q2與過去12個月的資產管理情況,該報告內容詳實,圖表眾多,數據豐富.

1900/1/1 0:00:00
AMM的「無限流動性」怎么玩?解讀BlackHoleSwap穩定幣互換設計_SWAP

編者按:本文來自鏈聞ChainNews,撰文:小毛哥,星球日報經授權發布。DeFi生態發展迅猛,除了進入DeFi領域的資金不斷擴大,DeFi生態內的基礎設施也都朝向性能更優、用戶更易于使用的方向.

1900/1/1 0:00:00
ads