Primera versión | Texto.Análisis de vulnerabilidad de seguridad de contrato inteligente de finanzas

El 12 de noviembre, hora de Beijing, el equipo de investigación de seguridad de CertiK descubrió una vulnerabilidad de seguridad en el código de contrato inteligente text.finance del proyecto DeFi.

Antes de analizar, pruebe la vista de todos y vea lo que dice el texto en la imagen a continuación.

Si no puede ver con claridad, puede hacer clic en la imagen y ajustar el brillo de la pantalla al nivel más alto.

A veces, algunos factores que no desea ver se ocultan deliberadamente a través de la tipografía u otros métodos.

A continuación, hablemos de dos lagunas en el proyecto. Es posible que desee prestar atención a la posición de [función función] en la figura cuando lea el artículo.

La primera bomba: el propietario del proyecto puede transferir una cantidad específica de tokens a cualquier dirección a través de la primera laguna.

La segunda bomba: el propietario del proyecto puede usar la segunda escapatoria para transferir por la fuerza los activos en el fondo de liquidez de cualquier inversor a la dirección del propietario del proyecto.

textMiner.sol

Más de 400 anuncios criptográficos en India han violado sus pautas en lo que va del año: Jinse Finance informó que el Consejo de Estándares de Publicidad de India (ASCI) reveló que más de 400 anuncios criptográficos han violado sus pautas en lo que va del año. De todas las quejas, 419 anuncios de criptomonedas requirieron revisión, y se señaló que la mayoría de las quejas involucraban a personas influyentes. India tiene dos conjuntos de pautas que se aplican a la mayoría de los anuncios criptográficos. Una promoción y publicidad que cubre criptomonedas, intercambios de criptomonedas y NFT. La norma fue publicada por ASCI en febrero de este año y entró en vigor en abril de este año. Otro conjunto de directrices, que entró en vigor en junio pasado, regula la publicidad y el marketing de los influencers.

En mayo, la Junta de Bolsa y Valores de la India (SEBI, por sus siglas en inglés) propuso prohibir a las figuras públicas, incluidas celebridades y atletas, publicitar y respaldar productos y servicios criptográficos. El organismo de control de valores también propuso que las figuras públicas rindan cuentas por cualquier violación de la ley al promover productos criptográficos. (noticias.bitcoin) [2022/6/29 1:39:00]

Dirección de implementación: 

https://etherscan.io/address/0x9858728de38c914c2ea32484a113b6628d984a82#código

Zhou Yanli: Impulsada por la tecnología de datos, la tecnología blockchain tendrá un profundo impacto en la transformación del proceso de la industria financiera tradicional y la industria de seguros: el 6 de diciembre, en la Primera Cumbre de Nuevas Finanzas de Finanzas y Economía de 2020, miembro del Comité Nacional de la El presidente de la Conferencia Consultiva Política del Pueblo Chino y exdirector adjunto de la Comisión Reguladora de Banca y Seguros de China, Zhou Yanli, dijo que impulsado por la tecnología de datos, los macrodatos, la inteligencia artificial y la tecnología blockchain tendrá un profundo impacto en el proceso de transformación de las finanzas y los seguros tradicionales. industrias Los gemelos digitales cambiarán la forma de los productos y la forma en que interactúan los servicios, y el nivel de supervisión de la tecnología de seguros y la tecnología mejorarán gradualmente, promoviendo la aparición de nuevas características en la ecología de la industria de seguros. (Primera Finanzas y Economía) [2020/12/6 14:22:04]

1. Vulnerabilidad 1

El propietario del proyecto implementó la función withUpdates() en la línea 1000 del contrato inteligente textMiner.sol. La función de esta función es acuñar cualquier número de tokens para la dirección devaddr. Al observar los valores de dirección de devaddr y el propietario del proyecto en la Figura 2, se puede encontrar que los dos son iguales, por lo que el propietario del proyecto puede usar esta vulnerabilidad para acuñar cualquier cantidad de tokens para la dirección devaddr.

Al mismo tiempo, el propietario actual de la dirección devaddr puede cambiar el valor de la dirección devaddr a otra dirección a través de la función dev() en la Figura 3, por lo que el propietario final del proyecto puede cambiar el método para cambiar el valor de la dirección devaddr y emitir cualquier cantidad de códigos. a cualquier moneda de dirección.

Aunque el propietario del proyecto configuró la función withUpdates() en la Figura 1 para no permitir llamadas externas a contratos inteligentes, implementó intencionalmente la función add() que permite llamadas externas en la línea 919 en la Figura 4 y luego la llamó a través de la línea 921 withUpdates( ) función para acuñar 10000000000000000000000000000000 tokens a la dirección devaddr.

Figura 1: La función withUpdates() en la línea 1000

Figura 2: dirección devaddr y dirección del propietario del proyecto

Figura 3: función dev()

Figura 4: función add()

2. Vulnerabilidad 2

Figura 5: función EmergencyWithdraw()

El propietario del proyecto puede llamar a la función de retiro de emergencia () en la Figura 5 para sacar todos los activos líquidos en un grupo de liquidez determinado de un inversor de dirección determinada y transferirlos a la dirección del propietario del proyecto.

La función de retiro de emergencia () se basa en la función de retiro de emergencia () correcta. Por lo tanto, incluso si el revisor no especula maliciosamente, es difícil decir que la parte del proyecto no reescribió y agregó maliciosamente esta vulnerabilidad.

De la comparación en la Figura 6 a continuación, se puede encontrar que Sushiswap permite a los inversores retirar urgentemente sus propios activos líquidos llamando a la función EmergencyWithdraw (), mientras que solo los propietarios de proyectos pueden llamar a esta función en text.finance, mientras que permite que los propietarios de proyectos retirar activos líquidos pertenecientes a cualquier inversor.

Figura 6: Comparación de las implementaciones de la función EmergencyWithdraw() en los proyectos text.finance y sushiswap

El equipo de investigación de seguridad de CertiK cree que cuando los inversores invierten en proyectos DeFi, no solo necesitan comprender los códigos comunes de los contratos inteligentes, sino que también deben examinar cuidadosamente la lógica de implementación de códigos específicos. De lo contrario, es muy fácil caer en la trampa de las vulnerabilidades maliciosas en este proyecto.

Para los inversores sin antecedentes técnicos, es más necesario saber si el proyecto se ha sometido a una auditoría técnica rigurosa. De las lagunas maliciosas en el proyecto Text.finance, se puede ver que invertir a ciegas en un proyecto que no ha sido estrictamente auditado puede causar grandes riesgos y causar pérdidas incalculables.

Tags：

Shiba coin