Intercambio de bitcoins Intercambio de bitcoins
Ctrl+D Intercambio de bitcoins
ads
Casa > Huobi App > Info

Primer lanzamiento | Análisis de eventos de vulnerabilidad de seguridad de contratos inteligentes de Sushiswap

Author:

Time:

El 28 de agosto, hora de Beijing, el equipo de investigación de seguridad de CertiK descubrió que había múltiples vulnerabilidades de seguridad en el contrato inteligente del proyecto sushiswap Cualquier operación, incluidas operaciones como tomar vacío en el caso. Al mismo tiempo, el contrato inteligente del proyecto también tiene una vulnerabilidad de ataque de reentrada grave, lo que hará que el código malicioso del atacante potencial se ejecute varias veces.

Pasos técnicos:

MasterChief.sol:131 https://github.com/sushiswap/sushiswap/blob/master/contracts/MasterChef.sol

RMSC se lanzará en ZBG a las 16:00 el 12 de abril: según las noticias oficiales de ZBG, RMSC abrirá el servicio de recarga a las 16:00 el 10 de abril, y abrirá el par comercial RMSC/USDT y el servicio de retiro a las 16:00 el 12 de abril. servicios de divisas.

RMSC (Real Drug Supply Chain) está construyendo un ecosistema de cadena de bloques que incluye gestión de activos digitales y transacciones para ayudar a las drogas a establecer la gestión del suministro y el transporte de drogas. Su objetivo es garantizar la comunicación, los activos, las transacciones y las identidades de los usuarios, así como la autenticidad en una sola parada. seguridad y privacidad, y al mismo tiempo pago agregado, suministro, transporte, transferencia, redes sociales, etc. en la aplicación de destino. Tomando la trazabilidad y la lucha contra la falsificación como principal escenario de aplicación, se compromete a promover el desarrollo vigoroso de activos y valores en la industria farmacéutica. Para obtener más detalles, consulte el servicio al cliente del sitio web oficial de ZBG. [2021/4/8 19:57:14]

En la línea 131 del contrato inteligente MasterChief.sol del contrato inteligente del proyecto sushiswap, el propietario del contrato inteligente puede tener la autoridad para establecer el valor de la variable del migrante en la figura anterior, y la configuración del valor puede determinar qué migrador código de contrato a configurar Efectuar la siguiente operación.

OKB cayó por debajo de la marca de $4,4 con una caída intradiaria del 8,8 %: los datos de OKEx muestran que OKB cayó a corto plazo y cayó por debajo de la marca de $4,4, y ahora cotiza a $4,395, con una caída intradiaria del 8,8 %. así que por favor haga un buen trabajo en el control de riesgos. [2020/10/24]

MasterChief.sol: 136 https://github.com/sushiswap/sushiswap/blob/master/contracts/MasterChef.sol

Cuando se determina el valor de migrator, el código en la línea 142 en la figura anterior, migrator.migrate(lpToken) también se determina en consecuencia, y el método de migrar se llama a través de la interfaz de IMigratorChef, por lo que al llamar, migrar El código lógico en el método cambiará de acuerdo con el valor del migrador.

En resumen, si el propietario del contrato inteligente apunta el valor del migrador a un contrato inteligente que contiene un código de método de migración malicioso, entonces el propietario puede realizar cualquier operación maliciosa que desee e incluso puede vaciar todos los tokens en la cuenta.

Al mismo tiempo, después de ejecutar la línea de código migrator.migrate(lpToken) en la línea 142 de la figura anterior, el propietario del contrato inteligente también puede usar la vulnerabilidad de ataque de reentrada para volver a ejecutar el método de migración a partir de la línea 136 u otro métodos de contrato para realizar operaciones maliciosas.  

El creador del proyecto actual de sushiswap afirmó que el proyecto se ha agregado a la visualización del contrato de bloqueo de tiempo (timelock), es decir, la operación de cualquier propietario de contrato inteligente del proyecto de sushiswap tendrá un bloqueo de retraso de 48 horas.

Revelación de esta vulnerabilidad:

Los propietarios de contratos inteligentes no deben tener derechos ilimitados, y la gobernanza comunitaria debe utilizarse para limitar a los propietarios de contratos inteligentes y garantizar que no utilicen sus propias ventajas para realizar operaciones maliciosas;

El código del contrato inteligente debe someterse a una estricta verificación e inspección de seguridad antes de que pueda publicarse.

Tags:

Huobi App
8.Mercado vespertino del 17: ¿BTC se mantendrá firme en 12,000 esta vez?

El artículo es una contribución de Biquan Beiming, columnista de Jinse Finance and Economics, y sus comentarios solo representan sus puntos de vista personales.

Los proyectos DeFi más destacados en 2020 (Parte 1)

La capitalización de mercado de Ethereum ha alcanzado su punto más alto desde agosto de 2019, superando los $ 40 mil millones. Entonces.

Primer lanzamiento | Análisis de eventos de vulnerabilidad de seguridad de contratos inteligentes de Sushiswap

El 28 de agosto, hora de Beijing, el equipo de investigación de seguridad de CertiK descubrió que había múltiples vulnerabilidades de seguridad en el contrato inteligente del proyecto sushiswap Cualquier operación.

130 proyectos en 30 días: echa un vistazo a las nuevas ideas que impulsan Web3

Después de un mes de talleres, conferencias, AMA y construcción discreta, 134 equipos presentaron sus proyectos finales para el hackathon HackFS inaugural.

Gu Yanxi: Análisis de las limitaciones del negocio de cadena de bloques de Goldman Sachs

CNBC entrevistó recientemente a Matthew McDermott, el nuevo jefe de activos digitales de Goldman Sachs.Obviamente, Goldman Sachs espera tener un desarrollo más rápido en el campo de los activos digitales.

Ant Group envía prospecto: 130 menciones de blockchain, Ant Chain ha generado ingresos

El 25 de agosto, Ant Group presentó un prospecto de cotización (borrador de declaración) a la Junta de Innovación Científica y Tecnológica de la Bolsa de Valores de Shanghái y, simultáneamente.

ads