RAT:CertiK:SushiSwap智能合约漏洞事件分析

北京时间8月28日,CertiK安全研究团队发SushiSwap项目智能合约中存在多个安全漏洞。该漏洞可能被智能合约拥有者利用,允许拥有者进行包括将智能合约账户内的代币在没有授权的情况下取空等操作在内的任意操作。同时该项目智能合约还存在严重的重入攻击漏洞,会导致潜在攻击者的恶意代码被执行多次。技术解析

CertiK通过美国AICPA审核获得SOC 2类型I认证:金色财经报道,Web3安全审计公司CertiK已经通过了美国注册会计师协会(AICPA)的审核,获得了该机构颁发SOC 2 类型 I 认证。SOC2类型I认证是AICPA基于确保服务机构满足客户数据安全而提出的标准,素以严苛著称。CertiK通过独立的第三方审计进行了安全控制、流程和政策等多全面审计和评估,满足了SOC 2的严格标准,有能力为客户和合作伙伴提供最高级别安全的承诺。在通过该认证后,CertiK方面也表示将一如既往地致力于提供最先进的安全解决方案,使个人、企业和组织等能在保证安全的前提下充分发挥区块链技术的潜力。[2023/7/18 11:00:28]

CertiK:NEO TOKYO项目Discord服务器遭到攻击:金色财经消息,据CertiK监测,NEO TOKYO项目Discord服务器遭到攻击,并发布了一条钓鱼链接。请社区用户在频道修复之前不要点击任何链接。[2022/12/18 21:52:23]

MasterChief.sol:131图片来源:https://github.com/sushiswap/在SushiSwap项目MasterChief.sol智能合约的131行中,智能合约的拥有者可以有权限来设定上图中migrator变量的值,该值的设定可以决定由哪一个migrator合约的代码来进行后面的操作。

NEAR将于本月启动夜影协议第一阶段并引入Chunk-Only Producers:9月9日消息,NEAR宣布将于本月启动夜影协议第一阶段并引入Chunk-Only Producers,Chunk-Only Producers仅负责在一个分片中生成区块。NEAR计划引入250至400名Chunk-Only Producers,该阶段预计将于本月下旬启动。

据悉,之后的第二和第三阶段均将于2023年启动,第二阶段会将状态和处理都将完全分片,第三阶段则将实现动态分片,网络将被动态拆分为分片,然后根据资源利用率进行合并,进一步提高网络可扩展性。[2022/9/9 13:20:23]

MasterChief.sol:136。图片来源:https://github.com/sushiswap/当migrator的值被确定之后,migrator.migrate(lpToken)也就可以被随之确定。由migrate的方法是通过IMigratorChef的接口来进行调用的,因此在调用的时候,migrate的方法中的逻辑代码会根据migrator值的不同而变化。简而言之,如果智能合约拥有者将migrator的值指向一个包含恶意migrate方法代码的智能合约,那么该拥有者可以进行任何其想进行的恶意操作,甚至可能取空账户内所有的代币。同时,在上图142行中migrator.migrate(lpToken)这一行代码执行结束后,智能合约拥有者也可以利用重入攻击漏洞,再次重新执行从136行开始的migrate方法或者其他智能合约方法,进行恶意操作。该漏洞的启示

·智能合约拥有者不应该拥有无限的权利,必须通过社区监管及治理(governance)来限制智能合约拥有者并确保其不会利用自身优势进行恶意操作。·智能合约代码需要经过严格的安全验证和检查之后,才能够被允许公布。当前SushiSwap项目创建者表示,已将该项目迁移到时间锁定合约,即任意SushiSwap项目智能合约拥有者的操作会有48小时的延迟锁定。在此CertiK技术团队建议大家在智能合约公布前,尽量寻找专业团队做好审计工作,以免项目出现漏洞造成损失。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:0ms0-0:892ms