无限增发漏洞

首发 | SushiSwap仿盘 YUNO与KIMCHI智能合约漏洞或存安全隐患


北京时间8月31日和9月1日,CertiK安全研究团队发现Sushiswap仿盘的两个项目YUNo Finance (YUNO)与KIMCHI.finance (KIMCHI),其智能合约均存在漏洞。如果利用该漏洞,智能合约拥有者可以无限制地增发项目对应的代币数目,导致项目金融进度通胀并最终崩溃。

无限增发漏洞

以Yuno项目中智能合约为例,CertiK安全研究团队对于该无限增发漏洞进行了详细分析,技术细节如下:

在Yuno项目中的MasterChef.sol智能合约第1354行中,dev方法可以允许当前拥有devaddr身份的智能合约调用者,将devaddr身份转移给另外一个地址。

截图出自:https://etherscan.io/address/0x450f143f1a8650fff968d890814bd5884bdc8f1d#code

下图中可以看到在智能合约1282行的mint方法是由修饰器onlyOwner进行限制,修饰器onlyOwner决定了只能是智能合约拥有者来执行这个合约。

以上三截图均出自:https://etherscan.io/address/0x450f143f1a8650fff968d890814bd5884bdc8f1d#code

拥有devaddr身份的调用者,当其身份恰好同时为owner身份的时候,可以通过调用MasterChef.sol智能合约1282行的mint方法,来无限制的增发代币。1282行的mint方法会继续调用1130行的mint方法,并继续由1130行mint方法调用1044行的_mint方法,并最终完成代币增发的操作。

Kimichi项目智能合约中存在的无限增发漏洞与以上漏洞基本相同,因此在这里不进行重复叙述。

如果owner和devaddr的地址如果相同,那么在外部没有对智能合约拥有者限制的情况下,智能合约拥有者拥有权利增发任意数量的代币,这将会将投资者置于风险之中。那么Yuno和Kimichi这两个项目中的devaddr和owner是否为同一人呢?是否有其他外部制约机制可以限制这两个项目的智能合约拥有者呢?

下图为Yuno项目MasterChef.sol智能合约中拥有devaddr和owner身份的地址(截止北京时间9月1日晚11点)。

截图出自:https://etherscan.io/address/0x9dd5b5c71842a4fd51533532e5470298bfa398fd#readContract

下图为Kimichi项目中KimchiChef.sol智能合约中拥有devaddr和owner身份的地址(截止北京时间9月1日晚11点)。

截图出自:https://etherscan.io/address/0x9dd5b5c71842a4fd51533532e5470298bfa398fd#readContract

从上两图中可以看到,Yuno项目中拥有devaddr和owner身份的地址为同一个,因此其智能合约拥有者有权利进行无限制的代币增发。而Kimichi项目中拥有devaddr和owner身份不同,但由于devaddr的身份可以进行转移,因此也存在一定的风险。

目前措施

为了确保无限增发漏洞不会被触发,对于Yuno和Kimichi两个项目的智能合约拥有者必须由外部进行限制。当前已经实施的限制条件与Sushiswap项目一致,即对任何由智能合约拥有者进行的智能合约操作,均有48小时的延迟。任何来自智能合约拥有者的操作都会被所有投资者观察到,并有48小时进行应对操作。

CertiK安全团队建议

  • 当前DeFi以及相关Farming项目异常火爆,由于区块链项目对于项目代码公开性有要求,因此上线新项目门槛极低。如果盲目借鉴其他项目,任意漏洞都可能被引入到项目中。因此在项目上线之前,应该对项目进行严格的安全审计。

  • 从投资者角度,当前Farming项目动辄百分之几千的回报率,极易促使投资者在没有对项目本身有足够了解的情况下进行盲目投资。例如SushiSwap,Yuno以及Kimchi三个项目均没有经过严谨的安全验证就快速上线。投资者可能会被巨大的利益回报迷惑,将宝贵资金投入到有极大风险的智能合约中。

24小时热点

元宇宙系列之Web3.0已具备体系性的基础设施

Web3.0定义:从后端生产关系革新开始。Web3.0是结合 ... 置顶

66540

OpenSea创始人:期待这个冬天的NFT市场

当我们在 2017 年底启动 OpenSea 时,我们就一直 ...

3300

Mine NFT

从法律条款入手,解读“无聊猿”版权和IP合作的细枝末节

区块链网QKLW.COM记者报道:即使是不关注元宇宙、NFT ...

3193

女娲NVWA

NFT的未来:数字世界与现实世界的融合

NFT在过去一年间风靡全球,然而它并不是一个新概念。早在20 ...

2538

幻核

判断一个Web3项目的好坏

区块链网专职打假记者Kevin Chen报道:进行属于自己的 ...

5797

伽作Meta

元宇宙技术对全球经济的影响

Meta委托国际经济咨询公司Analysis Group编写 ...

9419

艺藏

域名是Web3时代的社交通行证

区块链网QKLW.COM记者报道:熊市之下,Web 3 域名 ...

3472

DeFi到底意味着什么

元宇宙的新体验是立体感沉浸感虚拟现实感

区块链网专职打假记者李文峰报道:在朋友圈中看到了太多太多的关 ...

7042

安银

NFT交易市场TOP3周报(8.7-8.13)

区块链网专职打假记者陈思华报道:【0807 - 0813】周 ...

3301

优版权

元宇宙简史:用40年打开的未来世界

区块链网QKLW.COM记者报道:罗马不是一日建成的,元宇宙 ...

1508

NFT应用平台

NFT 借贷市场中的三种类型的优缺点

区块链网专职打假记者李文峰报道:NFT 借贷市场仍处于起步阶 ...

8142

AscendEX

热点专题

元宇宙是基于多种技术打造的虚实相生的数字世界

当前,部分人士仍然认为元宇宙不过是混合现实和数字孪生技术的一 ... 置顶

49037

NFT艺术品到底是什么?

Beeple,“EVERYDAYS: THE FIRST 5 ...

2194860

Opera House

最全的NFT发展史

当我们理解一个新生事物,必须要首先了解其起源,通过对其源头以 ...

1685314

iBox

中国成功学十大“大师”

陈安之 陈安之,男,汉族人,1967年12月28 ...

1355354

MakersPlace

什么是IDO?这种模式会带来怎样的影响?

要理解IDO(Initial DeFi Offering)初 ...

1031368

Bitstamp交易所

有黑客采取新型 USDT 假充值手法

根据慢雾区情报,有黑客采取新型 USDT 假充值手法,黑客采 ...

866650

区块链博客

2020中国区块链行业报告

2019年对区块链来说是充满了机遇与挑战的关键性的一年。在后 ...

802177

知信链

深度解读元宇宙 Decentraland

Decentraland 基于以太坊构建,是由用户共同拥有并 ...

744163

ImToken 多链钱包

国内NFT平台是怎么赚钱的?

2021年被称为NFT的“元年”,互联网巨头、各大企业、艺术 ...

607995

币客

4种利用永续合约资金费率套利的策略

下文将介绍在保持市场中立的条件下,如何从永续掉期资金费率中套 ...

599624

Venly

Uniswap是什么?

注意!币圈老虎机已开启

597383

量子链钱包