Primer lanzamiento | El disco de imitación de SushiSwap YUNO y KIMCHI lagunas en los contratos inteligentes o posibles riesgos de seguridad

El 31 de agosto y el 1 de septiembre, hora de Beijing, el equipo de investigación de seguridad de CertiK descubrió que dos proyectos de imitación de Sushiswap, YUNo Finance (YUNO) y KIMCHI.finance (KIMCHI), tenían vulnerabilidades en sus contratos inteligentes. Si se explota esta vulnerabilidad, el propietario del contrato inteligente puede emitir una cantidad ilimitada de tokens correspondientes al proyecto, lo que lleva a la inflación del progreso financiero del proyecto y al eventual colapso.

Tomando el contrato inteligente en el proyecto Yuno como ejemplo, el equipo de investigación de seguridad de CertiK realizó un análisis detallado de la vulnerabilidad de emisión infinita.Los detalles técnicos son los siguientes: 

En la línea 1354 del contrato inteligente de MasterChef.sol en el proyecto Yuno, el método dev permite que la persona que llama con el contrato inteligente que actualmente tiene la identidad devaddr transfiera la identidad devaddr a otra dirección.

Precios del mercado monetario El Banco de Inglaterra aumentará las tasas de interés en 25 puntos básicos en diciembre de 2021: según las noticias del 18 de octubre, los mercados monetarios están calculando que el Banco de Inglaterra aumentará las tasas de interés en 25 puntos básicos en diciembre de 2021 y al 1% en noviembre de 2022. (Diez de oro) [2021/10/18 20:37:21]

Captura de pantalla de: https://etherscan.io/address/0x450f143f1a8650fff968d890814bd5884bdc8f1d#code

En la siguiente figura, puede ver que el método mint en la línea 1282 del contrato inteligente está restringido por el decorador onlyOwner, que determina que solo el propietario del contrato inteligente puede ejecutar el contrato.

El valor de mercado total de las criptomonedas superó los 2,54 billones de dólares estadounidenses: Jinse Finance informó que, según los datos de CoinGecko, el valor de mercado total de las criptomonedas superó los 2,54 billones de dólares estadounidenses y actualmente es de 2,5467 billones de dólares estadounidenses, con un aumento de 2,9 en 24 horas. % El valor de mercado de BTC es de 1,127,316,192,831 dólares estadounidenses, la capitalización de mercado de ETH es de $ 453,043,494,951. El valor de mercado de Bitcoin representó el 44,3% y el valor de mercado de Ethereum representó el 17,7%. [2021/10/15 20:31:20]

Las tres capturas de pantalla anteriores son todas de: https://etherscan.io/address/0x450f143f1a8650fff968d890814bd5884bdc8f1d#code

YFI superó la marca de los USD 33 000 con un aumento intradiario del 5,75 %: los datos de Ouyi OKEx muestran que YFI subió a corto plazo y superó la marca de los USD 33 000. Ahora se reporta en USD 33 001,0, con un aumento intradiario del 5,75 %. [2021/3/6 18:21:10]

La persona que llama con la identidad de devaddr puede emitir tokens ilimitados llamando al método mint en la línea 1282 del contrato inteligente MasterChef.sol cuando su identidad es la del propietario al mismo tiempo. El método mint en la línea 1282 continuará llamando al método mint en la línea 1130, y el método mint en la línea 1130 continuará llamando al método _mint en la línea 1044 y finalmente completará la operación de emisión del token.

 La laguna de emisión ilimitada en el contrato inteligente del proyecto Kimichi es básicamente la misma que la laguna anterior, por lo que no se repetirá aquí.

Si las direcciones del propietario y devaddr son las mismas, entonces, sin restricciones externas sobre el propietario del contrato inteligente, el propietario del contrato inteligente tiene derecho a emitir cualquier cantidad de tokens, lo que pondrá en riesgo a los inversores. Entonces, ¿el devaddr y el propietario de los dos proyectos, Yuno y Kimichi, son la misma persona? ¿Existen otras restricciones externas que puedan limitar a los propietarios de contratos inteligentes de estos dos proyectos?

La siguiente figura muestra las direcciones con identidades de devaddr y propietario en el contrato inteligente MasterChef.sol del proyecto Yuno (a partir de las 11:00 p. m., 1 de septiembre, hora de Beijing).

Captura de pantalla de: https://etherscan.io/address/0x9dd5b5c71842a4fd51533532e5470298bfa398fd#readContract

La siguiente imagen muestra las direcciones con identidades de devaddr y propietario en el contrato inteligente KimchiChef.sol en el proyecto Kimichi (a partir de las 11:00 p. m., 1 de septiembre, hora de Beijing).

Como se puede ver en las dos figuras anteriores, las direcciones con identidades devaddr y propietario en el proyecto Yuno son las mismas, por lo que el propietario del contrato inteligente tiene derecho a emitir tokens ilimitados. En el proyecto Kimichi, la identidad de devaddr y propietario son diferentes, pero dado que la identidad de devaddr se puede transferir, existen ciertos riesgos.

Para garantizar que no se active-kepj la laguna de emisión infinita, los propietarios de contratos inteligentes de los proyectos Yuno y Kimichi deben estar restringidos desde el exterior. Las restricciones implementadas actualmente son consistentes con el proyecto Sushiswap, es decir, hay un retraso de 48 horas para cualquier operación de contrato inteligente realizada por el propietario del contrato inteligente. Cualquier operación del propietario del contrato inteligente será observada por todos los inversores y tendrá 48 horas para responder.

En la actualidad, DeFi y los proyectos agrícolas relacionados son extremadamente populares.Dado que los proyectos de blockchain tienen requisitos para la apertura de los códigos de proyecto, el umbral para lanzar nuevos proyectos es extremadamente bajo. Se pueden introducir errores arbitrarios en un proyecto si toma prestado ciegamente de otros proyectos. Por lo tanto, antes de que el proyecto entre en línea, se debe realizar una estricta auditoría de seguridad en el proyecto.

Desde la perspectiva de los inversionistas, la tasa de retorno de varios miles por ciento del proyecto agrícola actual puede incitar fácilmente a los inversionistas a invertir a ciegas sin una comprensión suficiente del proyecto en sí. Por ejemplo, los tres proyectos de SushiSwap, Yuno y Kimchi se lanzaron rápidamente sin una verificación de seguridad rigurosa. Los inversores pueden sentirse confundidos por los enormes rendimientos e invertir fondos preciosos en contratos inteligentes con grandes riesgos.

Tags：

OKX Official