Primer lanzamiento | CertiK: Análisis del evento de ataque a la operación interna del proyecto DeFi Walletreum

Marx citó una vez un dicho famoso en Das Kapital: "Si hay un 10% de ganancia, se garantiza que se usará en todas partes;

Con una ganancia del 20%, se activa;

Si hay un beneficio del 50%, correrá riesgos;

Por 100% de ganancia, se atreve a pisotear todas las leyes humanas;

Con un beneficio del 300%, se atreve a cometer cualquier delito, incluso el riesgo de ahorcamiento. "

Para blockchain, la descentralización es la esencia de todo, y es el punto de referencia del mundo y la ecología de blockchain.

No importa qué forma de descentralización, su esencia en realidad se refiere al hundimiento del poder de las instituciones centralizadas de alto nivel a los individuos de base.

Esta tendencia a la baja continúa beneficiando a cada individuo con el desarrollo del mundo. La "descentralización" mencionada por blockchain también es una categoría que satisface la esencia del desarrollo social con el desarrollo de la economía y la tecnología. La acuñación es una de ellas.

La acuñación aquí se refiere a delegarla en un equipo o individuo profesional y seguro, a través de una gobernanza comunitaria saludable, para lograr el objetivo de hacer realidad la visión del campo blockchain.

Sin embargo, así como el comportamiento de acuñación en los primeros años se prohibió repetidamente en las finanzas tradicionales, el comportamiento de acuñación malicioso en el campo de la cadena de bloques también es interminable.

Un proyecto que viola la naturaleza de la descentralización y acuña maliciosamente monedas a través de la gran autoridad del propietario no solo daña el buen desarrollo del proyecto, sino que también daña los intereses vitales de cada inversor y partidario del proyecto.

BTC supera la marca de los $38 700 con un aumento intradiario del 11,62 %: según datos de Huobi Global, BTC ha subido en el corto plazo, superando la marca de los $38 700, y ahora está en $38 704,84, un aumento intradiario del 11,62 %. fluctúa mucho, así que por favor haga un buen trabajo en el control de riesgos. [2021/1/14 16:09:38]

El 16 de noviembre, hora de Beijing, el equipo de investigación de seguridad de CertiK descubrió que el proyecto DeFi Walletreum fue acuñado maliciosamente con 500 millones de tokens WALT por parte del equipo del proyecto a través de operaciones internas. A partir de las 5 a. m. del 16 de noviembre, la cantidad de tokens acuñados de forma malintencionada alcanzó casi 1,9 millones de RMB.

Al analizar su código de contrato inteligente, el equipo de investigación de seguridad de CertiK descubrió que el riesgo de centralización de su código de contrato inteligente es extremadamente alto y existen riesgos de seguridad.El propietario del proyecto tiene derecho a emitir cualquier cantidad de tokens a cualquier dirección.

El análisis técnico completo es el siguiente:

Dirección del propietario del proyecto: 0xa5e552e3d643cc89f3b1ceccfd6f42c5c1aee775

Figura 1: información de transacción de ataque de operación interna

La Figura 1 muestra la información de la transacción del contrato inteligente WALTToken en el proyecto Walletreum que se opera internamente para acuñar 500 millones de tokens WALT adicionales.

El valor hash de la transacción es 0xc0f3b0576f18a714d78b822754489d4201c9e36fb0ce4b2f53a93217564710e5.

Después de que el sistema CertiK Skynet (Skynet) detectó información de transacciones anormales en el bloque 1126401, inmediatamente emitió una advertencia al equipo de investigación de seguridad de CertiK.

Después de un análisis rápido del contrato inteligente del proyecto, el equipo de investigación de seguridad de CertiK cree que el proyecto es un ataque típico causado por la alta concentración de contratos inteligentes.

Figura 2: Función de contrato inteligente mint() de WALTToken

 La figura 2 muestra la función llamada maliciosamente mint() en el contrato inteligente que sufre ataques de operaciones internas.

Se puede ver en la implementación del código en la línea 666 que cualquier llamador externo que tenga el permiso minter y pueda ser restringido por el modificador onlyMinter puede llamar a esta función.

La función de esta función es acuñar cualquier cantidad de tokens (cantidad) a cualquier cuenta (cuenta) a través de 667 líneas de código.

A través de la implementación lógica del modificador onlyMinter en la línea 619 en la Figura 3, y la implementación lógica de la autoridad minter otorgada al implementador de contratos inteligentes en el constructor en la línea 615, el implementador de contratos inteligentes tiene la autoridad para ejecutar la función mint en la Figura 2.

Figura 3: El modificador onlyMinter y el constructor que otorga permisos minter al administrador del proyecto

Figura 4: El propietario del proyecto tiene permiso de minter

La figura 4 muestra el resultado de consultar si el propietario del proyecto tiene permiso de minter.

Hasta ahora, el propietario del proyecto tiene derecho a ejecutar la función de acuñación y, finalmente, acuñó maliciosamente 500 millones de tokens WALT, lo que provocó pérdidas a los inversores del proyecto.

El equipo de seguridad de CertiK cree a través de la investigación que la mayoría de los proyectos DeFi actuales tienen riesgos similares a los proyectos de Walletreum.

La implementación de este tipo de función de menta y permiso de menta indica que el propietario del proyecto tiene demasiado permiso en el proyecto DeFi actual y el riesgo de centralización es alto.

Esto conducirá a la ocurrencia de operaciones internas y otras situaciones que dependen completamente de las "cualidades personales" y las elecciones del propietario del proyecto o del equipo.

El equipo de CertiK ha analizado previamente el proyecto Mercurity.finance, que también tiene riesgos de centralización, y la situación similar al proyecto Walletreum que es atacado por operaciones internas seguirá ocurriendo en el futuro.

Aquí, el equipo de CertiK emite recomendaciones:

Para evitar tales operaciones internas, se debe prestar atención a mejorar el grado de gobernanza comunitaria y reducir la autoridad centralizada tanto como sea posible en la implementación del proyecto Para cualquier operación importante, es necesario aprobar la votación de la comunidad o utilizar el mecanismo de restricción de demora Timelock.

Tags：

OKB