Primera versión | Texto.Análisis de vulnerabilidad de seguridad de contrato inteligente de Finanzas

El 12 de noviembre, hora de Beijing, el equipo de investigación de seguridad de CertiK descubrió una vulnerabilidad de seguridad en el código de contrato inteligente text.finance del proyecto DeFi.

Antes de analizar, pruebe la vista de todos y vea lo que dice el texto en la imagen a continuación.

Si no puede ver con claridad, puede hacer clic en la imagen y ajustar el brillo de la pantalla al nivel más alto.

A veces, algunos factores que no desea ver se ocultan deliberadamente a través de la tipografía u otros métodos.

A continuación, hablemos de dos lagunas en el proyecto. Es posible que desee prestar atención a la posición de [función función] en la figura cuando lea el artículo.

La primera bomba: el propietario del proyecto puede transferir una cantidad específica de tokens a cualquier dirección a través de la primera laguna.

La segunda bomba: el propietario del proyecto puede usar la segunda escapatoria para transferir por la fuerza los activos en el fondo de liquidez de cualquier inversor a la dirección del propietario del proyecto.

textMiner.sol

El CRV se recuperó a $0,498, un aumento a corto plazo del 15,5 %: según las noticias del 22 de noviembre, los datos del mercado mostraron que el CRV aumentó a $0,498, un aumento a corto plazo del 15,5 %. [2022/11/22 7:57:23]

Dirección de implementación: 

https://etherscan.io/address/0x9858728de38c914c2ea32484a113b6628d984a82#código

1. Vulnerabilidad 1

El propietario del proyecto implementó la función withUpdates() en la línea 1000 del contrato inteligente textMiner.sol. La función de esta función es acuñar cualquier número de tokens para la dirección devaddr. Al observar los valores de dirección de devaddr y el propietario del proyecto en la Figura 2, se puede encontrar que los dos son iguales, por lo que el propietario del proyecto puede usar esta vulnerabilidad para acuñar cualquier cantidad de tokens para la dirección devaddr.

Al mismo tiempo, el propietario actual de la dirección devaddr puede cambiar el valor de la dirección devaddr a otra dirección a través de la función dev() en la Figura 3, por lo que el propietario final del proyecto puede cambiar el método para cambiar el valor de la dirección devaddr y emitir cualquier cantidad de códigos. a cualquier moneda de dirección.

El protocolo de puente de cadena cruzada Multichain se une a SkyLaunch Alliance: el 22 de enero, según las noticias oficiales, el enrutador Web 3 de cadena cruzada y el protocolo de puente de cadena cruzada Multichain (anteriormente AnySwap) se unieron a la red de alianza SkyLaunch Post-IDO.

Se informa que la alianza SkyLaunch es una red de socios y mentores en el ecosistema de la cadena de bloques, que brinda servicios de soporte post-IDO (Post-IDO), que incluyen servicios legales y de concesión de licencias, creadores de mercado, gestión de fondos, cotización en bolsa, servicios de marketing e industria profesional. consultores etc [2022/1/22 9:06:38]

Aunque el propietario del proyecto configuró la función withUpdates() en la Figura 1 para no permitir llamadas externas a contratos inteligentes, implementó intencionalmente la función add() que permite llamadas externas en la línea 919 en la Figura 4 y luego la llamó a través de la línea 921 withUpdates( ) función para acuñar 10000000000000000000000000000000 tokens a la dirección devaddr.

Figura 1: La función withUpdates() en la línea 1000

Figura 2: dirección devaddr y dirección del propietario del proyecto

Figura 3: función dev()

Figura 4: función add()

2. Vulnerabilidad 2

Figura 5: función EmergencyWithdraw()

El propietario del proyecto puede llamar a la función de retiro de emergencia () en la Figura 5 para sacar todos los activos líquidos en un grupo de liquidez determinado de un inversor de dirección determinada y transferirlos a la dirección del propietario del proyecto.

La función de retiro de emergencia () se basa en la función de retiro de emergencia () correcta. Por lo tanto, incluso si el revisor no especula maliciosamente, es difícil decir que la parte del proyecto no reescribió y agregó maliciosamente esta vulnerabilidad.

De la comparación en la Figura 6 a continuación, se puede encontrar que Sushiswap permite a los inversores retirar urgentemente sus propios activos líquidos llamando a la función EmergencyWithdraw (), mientras que solo los propietarios de proyectos pueden llamar a esta función en text.finance, mientras que permite que los propietarios de proyectos retirar activos líquidos pertenecientes a cualquier inversor.

Figura 6: Comparación de las implementaciones de la función EmergencyWithdraw() en los proyectos text.finance y sushiswap

El equipo de investigación de seguridad de CertiK cree que cuando los inversores invierten en proyectos DeFi, no solo necesitan comprender los códigos comunes de los contratos inteligentes, sino que también deben examinar cuidadosamente la lógica de implementación de códigos específicos. De lo contrario, es muy fácil caer en la trampa de las vulnerabilidades maliciosas en este proyecto.

Para los inversores sin antecedentes técnicos, es más necesario saber si el proyecto se ha sometido a una auditoría técnica rigurosa. De las lagunas maliciosas en el proyecto Text.finance, se puede ver que invertir a ciegas en un proyecto que no ha sido estrictamente auditado puede causar grandes riesgos y causar pérdidas incalculables.

Tags：

Dogecoin