Primer lanzamiento | El disco de imitación de SushiSwap YUNO y KIMCHI lagunas en los contratos inteligentes o posibles riesgos de seguridad

El 31 de agosto y el 1 de septiembre, hora de Beijing, el equipo de investigación de seguridad de CertiK descubrió que dos proyectos de imitación de Sushiswap, YUNo Finance (YUNO) y KIMCHI.finance (KIMCHI), tenían vulnerabilidades en sus contratos inteligentes. Si se explota esta vulnerabilidad, el propietario del contrato inteligente puede emitir una cantidad ilimitada de tokens correspondientes al proyecto, lo que lleva a la inflación del progreso financiero del proyecto y al eventual colapso.

Tomando el contrato inteligente en el proyecto Yuno como ejemplo, el equipo de investigación de seguridad de CertiK realizó un análisis detallado de la vulnerabilidad de emisión infinita.Los detalles técnicos son los siguientes: 

En la línea 1354 del contrato inteligente de MasterChef.sol en el proyecto Yuno, el método dev permite que la persona que llama con el contrato inteligente que actualmente tiene la identidad devaddr transfiera la identidad devaddr a otra dirección.

Captura de pantalla de: https://etherscan.io/address/0x450f143f1a8650fff968d890814bd5884bdc8f1d#code

En la siguiente figura, puede ver que el método mint en la línea 1282 del contrato inteligente está restringido por el decorador onlyOwner, que determina que solo el propietario del contrato inteligente puede ejecutar el contrato.

LongBit admite el primer airdrop de DON a los usuarios de IOST: según las noticias oficiales de IOST, recientemente Donnie Finance confirmó que lanzará desde el aire el 5 % del suministro total de DON a los usuarios de IOST por primera vez. LongBit anunció oficialmente que admitirá el airdrop DON de instantáneas de IOST.

Hasta ahora, Binance, Huobi Global, OKEx, Huobi Korea, MXC, Bithumb, UPbit, BigONE, AEX, CoinW, KuCoin y LongBit han apoyado el primer airdrop a los usuarios de IOST DON actividad de inversión, las plataformas comerciales más compatibles continúan conectadas .

Donnie Finance ha lanzado 7 productos, y DON también se ha lanzado en CoinOne, una plataforma comercial líder en Corea. En febrero, Donnie Finance lanzará minería de liquidez. [2021/2/24 17:49:03]

Las tres capturas de pantalla anteriores son todas de: https://etherscan.io/address/0x450f143f1a8650fff968d890814bd5884bdc8f1d#code

La persona que llama con la identidad de devaddr puede emitir tokens ilimitados llamando al método mint en la línea 1282 del contrato inteligente MasterChef.sol cuando su identidad es la del propietario al mismo tiempo. El método mint en la línea 1282 continuará llamando al método mint en la línea 1130, y el método mint en la línea 1130 continuará llamando al método _mint en la línea 1044 y finalmente completará la operación de emisión del token.

 La laguna de emisión ilimitada en el contrato inteligente del proyecto Kimichi es básicamente la misma que la laguna anterior, por lo que no se repetirá aquí.

Si las direcciones del propietario y devaddr son las mismas, entonces, sin restricciones externas sobre el propietario del contrato inteligente, el propietario del contrato inteligente tiene derecho a emitir cualquier cantidad de tokens, lo que pondrá en riesgo a los inversores. Entonces, ¿el devaddr y el propietario de los dos proyectos, Yuno y Kimichi, son la misma persona? ¿Existen otras restricciones externas que puedan limitar a los propietarios de contratos inteligentes de estos dos proyectos?

La siguiente figura muestra las direcciones con identidades de devaddr y propietario en el contrato inteligente MasterChef.sol del proyecto Yuno (a partir de las 11:00 p. m., 1 de septiembre, hora de Beijing).

Captura de pantalla de: https://etherscan.io/address/0x9dd5b5c71842a4fd51533532e5470298bfa398fd#readContract

La siguiente imagen muestra las direcciones con identidades de devaddr y propietario en el contrato inteligente KimchiChef.sol en el proyecto Kimichi (a partir de las 11:00 p. m., 1 de septiembre, hora de Beijing).

Como se puede ver en las dos figuras anteriores, las direcciones con identidades devaddr y propietario en el proyecto Yuno son las mismas, por lo que el propietario del contrato inteligente tiene derecho a emitir tokens ilimitados. En el proyecto Kimichi, la identidad de devaddr y propietario son diferentes, pero dado que la identidad de devaddr se puede transferir, existen ciertos riesgos.

Para garantizar que no se active-gnvl la laguna de emisión infinita, los propietarios de contratos inteligentes de los proyectos Yuno y Kimichi deben estar restringidos desde el exterior. Las restricciones implementadas actualmente son consistentes con el proyecto Sushiswap, es decir, hay un retraso de 48 horas para cualquier operación de contrato inteligente realizada por el propietario del contrato inteligente. Cualquier operación del propietario del contrato inteligente será observada por todos los inversores y tendrá 48 horas para responder.

En la actualidad, DeFi y los proyectos agrícolas relacionados son extremadamente populares.Dado que los proyectos de blockchain tienen requisitos para la apertura de los códigos de proyecto, el umbral para lanzar nuevos proyectos es extremadamente bajo. Se pueden introducir errores arbitrarios en un proyecto si toma prestado ciegamente de otros proyectos. Por lo tanto, antes de que el proyecto entre en línea, se debe realizar una estricta auditoría de seguridad en el proyecto.

Desde la perspectiva de los inversionistas, la tasa de retorno de varios miles por ciento del proyecto agrícola actual puede incitar fácilmente a los inversionistas a invertir a ciegas sin una comprensión suficiente del proyecto en sí. Por ejemplo, los tres proyectos de SushiSwap, Yuno y Kimchi se lanzaron rápidamente sin una verificación de seguridad rigurosa. Los inversores pueden sentirse confundidos por los enormes rendimientos e invertir fondos preciosos en contratos inteligentes con grandes riesgos.

Tags：

NEAR