元宇宙非小号金色财经交流群社区官网

法国比特币交易平台首发智能合约安全漏洞分析

浏览:62|时间:2023-08-25 08:15:10
今年美国大选虽然有了广泛意义上的结果,但竞选结果并未明确。现在拜登团队宣布胜选,美国媒体纷纷宣布拜登当选下届美国总统。另一方面,川普拒绝接受败选结果,他持续进行计票,并宣称要采取法律行动。

造成如今这个混乱结果的主要原因在于美国没有设立独立的选举委员会来处理大选事务,而是由新闻机构承担了这个角色。如果川普掌控大多数新闻机构,他可能会操控选票,这样的结果还不确定。

因此,可以说这是一场极度中心化的“媒体选举”,这在选举、互联网和区块链等领域都有体现。2020年,中心化不再是权威的象征,而是“独断”、“专权”的代名词。

11月9日,CertiK安全研究团队发现DeFi项目Mercurity.finance的智能合约代码存在中心化风险。项目拥有者拥有过大的权限,可以任意铸币并为特定账户提供任意的奖励。

具体技术分析如下:

ERC20Token.sol的智能合约构造函数(图一)允许项目拥有者将自己设置为铸币者。通过onlyIssuer修饰词(图二),外部调用者可以执行被修饰的函数。因此,拥有铸币者身份的项目拥有者可以执行具有铸币方法的issue函数(图三),从而可以为任意账户铸造任意数量的代币。

此外,该项目还存在一个允许项目拥有者提供代币奖励的后门。该后门存在于AwardContract.sol智能合约中。当AwardContract.sol在区块链上部署时,由于构造函数会自动执行,所以项目拥有者会自动成为governor(图四)。拥有governor身份的外部调用者可以类似地执行被onlyGovernor修饰的函数,例如addFreeAward函数(图六)。然后,外部调用者可以通过withdraw函数(图七)将自己的奖励提取出来。因此,当一个拥有governor身份的外部调用者为某个账户添加奖励后,该账户可以调用withdraw函数来取出奖励。

总结来说,Mercurity.finance项目中的智能合约的后门漏洞都是因为项目拥有者权限过大所导致的。在这种中心化治理机制下,项目拥有者有权利随时获利或破坏项目经济系统。

CertiK安全研究团队建议Mercurity.finance更新其治理系统,引入社区管理机制。

CertiK在此提醒广大用户:

1.合约代码在公布之前需要经过严格的安全验证和审计。

2.投资采用中心化治理机制的项目时需要权衡风险,并谨慎投资。

交易 交易平台 合约 币交易 币交易平台

本站分享的区块链、Web3.0元宇宙、NFT、数字藏品最新消息等相关数藏知识快讯NFR资讯新闻,与金色财经非小号巴比特星球前线Btc中国官网无关,本站资讯观点不作为投资依据,市场有风险,投资需谨慎!不提供社区论坛BBS微博微信交流群等相关币圈信息发布!
声明:本站内容来源于网络,如有侵权请即时告知,我们将即时删除!