Precio de Bitcoin Precio de Bitcoin
Ctrl+D Precio de Bitcoin
ads
Casa > Ripple > Info

Primer lanzamiento | Mercurity.Análisis de vulnerabilidad de seguridad de contratos inteligentes de Finance

Author:

Time:

Aunque el polvo se ha asentado en un sentido amplio en las elecciones generales estadounidenses de este año, el resultado de las elecciones aún no está claro.

Ahora que el equipo de Biden ha anunciado la victoria, los medios estadounidenses han anunciado que Biden será el próximo presidente de los Estados Unidos. Por otro lado, Trump se negó a aceptar el resultado de la derrota, siguió contando votos y declaró que emprendería acciones legales.

La razón principal de los resultados caóticos de hoy es que Estados Unidos no ha establecido una comisión electoral independiente y autorizada con poder sobre los asuntos electorales. Por defecto, las organizaciones de noticias asumen este papel. Si Trump gana demasiado poder, controla la mayoría de las organizaciones de noticias y crea votos falsos, el resultado aún se desconoce.

Esto significa que, en cierta medida, se puede decir que es otra "elección de medios" después del extremadamente centralizado "Twitter que gobierna el país".

De las elecciones, a Internet, a la cadena de bloques, en 2020, la centralización ya no es una manifestación de autoridad, sino un sinónimo de "arbitrario" y "autoritarismo".

El 9 de noviembre, hora de Beijing, el equipo de investigación de seguridad de CertiK descubrió que la parte del código del contrato inteligente Mercurity.finance del proyecto DeFi tiene riesgos de centralización.

El propietario del proyecto tiene autoridad excesiva para acuñar cualquier cantidad de monedas y proporcionar cualquier cantidad de recompensas para una cuenta determinada.

Los pasos técnicos se analizan de la siguiente manera:

ERC20Token.sol

Código Dirección:

Datos: el volumen de transacciones de 24 horas en Fantom supera a Ethereum: noticias del 25 de enero, el volumen de transacciones de 24 horas de Fantom superó a Ethereum por primera vez ayer, ya que los inversores buscan nuevas formas de aumentar la producción y aumentar el valor. Según los datos de Fantomscan y Etherscan, la red Fantom procesó más de 1,2 millones de transacciones en las últimas 24 horas, un poco más que los 1,1 millones de transacciones de Ethereum. (CoinDesk) [2022/1/25 9:11:46]

https://github.com/MER-DAO/MEE-core/blob/main/contracts/tokens/ERC20Token.sol

Dirección de implementación:

https://etherscan.io/address/0xe1b583dc66e0a24fd9af2dc665f6f5e48978e106#código

Figura 1: constructor de contrato inteligente ERC20Token

Cofundador de UnConventional Ventures: La moneda tokenizada, CBDC y las monedas estables tienen más que ver con extraer y continuar un modelo de negocio: Golden Finance informa que el cofundador de UnConventional Ventures, Bradley Leimer, está más interesado en posibles monedas estables y tokenización de fondos privados. Argumenta que cuando hablamos de privatización, todo tiende a ser descentralizado, eventualmente recentralizado y luego monetizado, ya sean plataformas tecnológicas, monedas digitales respaldadas por el gobierno, tokens u otras formas de finanzas integradas. No creo que las monedas tokenizadas, las CBDC y las monedas estables vayan a ser una historia inclusiva porque todos los incentivos son incorrectos. Creo que se trata más de controlar, extraer y perpetuar un modelo comercial que ha perdido mucho para satisfacer las necesidades de la comunidad en su conjunto. [2021/10/14 20:28:10]

Figura 2: modificador onlyIssuer

Figura 3: función de emisión con método de acuñación

Como se muestra en la Figura 1, el constructor del propietario del proyecto en el contrato inteligente ERC20Token.sol puede establecerse como la identidad del emisor. Dado que su constructor se ejecutará automáticamente cuando se implemente el contrato inteligente, el propietario del proyecto se convertirá automáticamente en un emisor.

A través de la restricción del modificador onlyIssuer que se muestra en la Figura 2, cualquier llamador externo con identidad de emisor podrá ejecutar cualquier función modificada por el modificador onlyIssuer.

Por lo tanto, el propietario del proyecto con la identidad del emisor puede ejecutar la función de emisión con el método de acuñación de la Figura 3, de modo que se pueda acuñar cualquier cantidad de tokens para cualquier cuenta.

Además de esto, el proyecto también tiene una puerta trasera que permite a los propietarios del proyecto ofrecer recompensas simbólicas. La puerta trasera existe en el contrato inteligente AwardContract.sol.

https://github.com/MER-DAO/MEE-core/blob/main/contracts/AwardContract.sol

https://etherscan.io/address/0x8Ea43ce113456f45defd0E27e809d719b9CA2362#código

Figura 4: Constructor de contrato inteligente AwardContract

Figura 5: modificador onlyGovernor

Figura 6: función de contrato inteligente addFreeAward

Cuando el propietario del proyecto implementa AwardContract.sol en la cadena de bloques, el constructor del contrato AwardContract se ejecutará automáticamente, lo que significa que después de que se ejecuten automáticamente las 43 líneas de código de la Figura 4, el propietario del proyecto recibirá automáticamente el estado de gobernador

Los llamantes externos con estado de gobernador pueden ejecutar de manera similar cualquier función de contrato inteligente modificada por el modificador onlyGovernor, como la función addFreeAward que se muestra en la Figura 6.

Dado que todas las personas que llaman externas pueden retirar sus propias recompensas llamando a la función de retiro en la Figura 7, cuando la persona que llama externa con la identidad del gobernador agrega una cierta cantidad de recompensas a una cuenta (que se supone que es A), cuenta A Esta función se puede llamar, y después de pasar la verificación de condición de juicio en la línea 246, la recompensa adicional se puede retirar llamando a la función safeIssue() en la línea 281.

Figura 7: retirar la función de contrato inteligente

En resumen, todas las vulnerabilidades de puerta trasera en los contratos inteligentes en el proyecto Mercurity.finance provienen de la autoridad excesiva del propietario del proyecto. En este tipo de mecanismo de gobierno centralizado, los propietarios del proyecto tienen derecho a obtener ganancias en cualquier momento o destruir el sistema económico del proyecto.

El equipo de investigación de seguridad de CertiK sugirió que Mercurity.finance actualice el sistema de gobierno adoptado en el proyecto e introduzca un mecanismo de gestión comunitaria.

CertiK recuerda a los usuarios:

1. El código del contrato debe someterse a una estricta verificación y auditoría de seguridad antes de que se permita su publicación.

2. Los inversores deben medir los riesgos e invertir con cautela cuando invierten en proyectos que adoptan mecanismos de gobierno centralizados.

Tags:

Ripple
Causas y efectos de la caída de la tasa de hash de Bitcoin

La tasa de hash de Bitcoin se ha desplomado de 146 a 113 por segundo, uno de los ajustes más difíciles jamás realizados. La fuerte caída del 23% es algo sorprendente después de una gran racha desde mayo de 2020.

DeFi: ¿Es la diversificación una mejor estrategia de inversión?

En los últimos 6 meses, se formaron cuatro fondos diferentes para rastrear el sector DeFi en Ethereum. He estado observando el rendimiento relativo de estos fondos y cómo se han diversificado para protegerse contra la.

Primer lanzamiento | Mercurity.Análisis de vulnerabilidad de seguridad de contratos inteligentes de Finance

Aunque el polvo se ha asentado en un sentido amplio en las elecciones generales estadounidenses de este año, el resultado de las elecciones aún no está claro.Ahora que el equipo de Biden ha anunciado la victoria.

El 12.º aniversario del lanzamiento del libro blanco de Bitcoin, rinda homenaje a cada persona de blockchain

Desde el origen del concepto de universo y cielo estrellado en la antigua Grecia hasta el aterrizaje de Armstrong en la luna.

Golden Morning Post | Lagarde: El Banco Central Europeo ha comenzado a explorar la posibilidad de un euro digital

▌ Lagarde: El Banco Central Europeo ha comenzado a explorar la posibilidad de un euro digitalLa presidenta del Banco Central Europeo, Christine Lagarde.

Entrevista exclusiva de Justin Sun: vinculación de la virtualidad y la interpretación de la realidad de JustLink, el primer proyecto oficial de oráculo de TRON

Este año, las finanzas descentralizadas DeFi se han convertido en un punto súper caliente en el mundo global de activos digitales. La popularidad de Defi ha llevado al aumento del valor de mercado de muchos proyectos.

ads