Primer lanzamiento | Mercurity.Análisis de vulnerabilidad de seguridad de contrato inteligente de finanzas

Aunque el polvo se ha asentado en un sentido amplio en las elecciones generales estadounidenses de este año, el resultado de las elecciones aún no está claro.

Ahora que el equipo de Biden ha anunciado la victoria, los medios estadounidenses han anunciado que Biden será el próximo presidente de los Estados Unidos. Por otro lado, Trump se negó a aceptar el resultado de la derrota, siguió contando votos y declaró que emprendería acciones legales.

La razón principal de los resultados caóticos de hoy es que Estados Unidos no ha establecido una comisión electoral independiente y autorizada con poder sobre los asuntos electorales. Por defecto, las organizaciones de noticias asumen este papel. Si Trump gana demasiado poder, controla la mayoría de las organizaciones de noticias y crea votos falsos, el resultado aún se desconoce.

Esto significa que, en cierta medida, se puede decir que es otra "elección de medios" después del extremadamente centralizado "Twitter que gobierna el país".

De las elecciones, a Internet, a la cadena de bloques, en 2020, la centralización ya no es una manifestación de autoridad, sino un sinónimo de "arbitrario" y "autoritarismo".

El 9 de noviembre, hora de Beijing, el equipo de investigación de seguridad de CertiK descubrió que la parte del código del contrato inteligente Mercurity.finance del proyecto DeFi tiene riesgos de centralización.

El propietario del proyecto tiene autoridad excesiva para acuñar cualquier cantidad de monedas y proporcionar cualquier cantidad de recompensas para una cuenta determinada.

Los pasos técnicos se analizan de la siguiente manera:

ERC20Token.sol

Código de dirección:

https://github.com/MER-DAO/MEE-core/blob/main/contracts/tokens/ERC20Token.sol

Dirección de implementación:

https://etherscan.io/address/0xe1b583dc66e0a24fd9af2dc665f6f5e48978e106#código

Figura 1: constructor de contrato inteligente ERC20Token

Figura 2: modificador onlyIssuer

Figura 3: función de emisión con método de acuñación

Como se muestra en la Figura 1, el constructor del propietario del proyecto en el contrato inteligente ERC20Token.sol puede establecerse como la identidad del emisor. Dado que su constructor se ejecutará automáticamente cuando se implemente el contrato inteligente, el propietario del proyecto se convertirá automáticamente en un emisor.

A través de la restricción del modificador onlyIssuer que se muestra en la Figura 2, cualquier llamador externo con identidad de emisor podrá ejecutar cualquier función modificada por el modificador onlyIssuer.

Por lo tanto, el propietario del proyecto con la identidad del emisor puede ejecutar la función de emisión con el método de acuñación de la Figura 3, de modo que se pueda acuñar cualquier cantidad de tokens para cualquier cuenta.

Además de esto, el proyecto también tiene una puerta trasera que permite a los propietarios del proyecto ofrecer recompensas simbólicas. La puerta trasera existe en el contrato inteligente AwardContract.sol.

https://github.com/MER-DAO/MEE-core/blob/main/contracts/AwardContract.sol

https://etherscan.io/address/0x8Ea43ce113456f45defd0E27e809d719b9CA2362#código

Figura 4: Constructor de contrato inteligente AwardContract

Figura 5: modificador onlyGovernor

Figura 6: función de contrato inteligente addFreeAward

Cuando el propietario del proyecto implementa AwardContract.sol en la cadena de bloques, el constructor del contrato AwardContract se ejecutará automáticamente, lo que significa que después de que se ejecuten automáticamente las 43 líneas de código de la Figura 4, el propietario del proyecto recibirá automáticamente el estado de gobernador

Los llamantes externos con estado de gobernador pueden ejecutar de manera similar cualquier función de contrato inteligente modificada por el modificador onlyGovernor, como la función addFreeAward que se muestra en la Figura 6.

Dado que todas las personas que llaman externas pueden retirar sus propias recompensas llamando a la función de retiro en la Figura 7, cuando la persona que llama externa con la identidad del gobernador agrega una cierta cantidad de recompensas a una cuenta (que se supone que es A), cuenta A Esta función se puede llamar, y después de pasar la verificación de condición de juicio en la línea 246, la recompensa adicional se puede retirar llamando a la función safeIssue() en la línea 281.

Figura 7: retirar la función de contrato inteligente

En resumen, todas las vulnerabilidades de puerta trasera en los contratos inteligentes en el proyecto Mercurity.finance provienen de la autoridad excesiva del propietario del proyecto. En este tipo de mecanismo de gobierno centralizado, los propietarios del proyecto tienen derecho a obtener ganancias en cualquier momento o destruir el sistema económico del proyecto.

El equipo de investigación de seguridad de CertiK sugirió que Mercurity.finance actualice el sistema de gobierno adoptado en el proyecto e introduzca un mecanismo de gestión comunitaria.

CertiK recuerda a los usuarios:

1. El código del contrato debe someterse a una estricta verificación y auditoría de seguridad antes de que se permita su publicación.

2. Los inversores deben medir los riesgos e invertir con cautela cuando invierten en proyectos que adoptan mecanismos de gobierno centralizados.

Tags：

AVAX