造成如今这个混乱结果的主要原因在于美国没有设立独立的选举委员会来处理大选事务,而是由新闻机构承担了这个角色。如果川普掌控大多数新闻机构,他可能会操控选票,这样的结果还不确定。
因此,可以说这是一场极度中心化的“媒体选举”,这在选举、互联网和区块链等领域都有体现。2020年,中心化不再是权威的象征,而是“独断”、“专权”的代名词。
11月9日,CertiK安全研究团队发现DeFi项目Mercurity.finance的智能合约代码存在中心化风险。项目拥有者拥有过大的权限,可以任意铸币并为特定账户提供任意的奖励。
具体技术分析如下:
ERC20Token.sol的智能合约构造函数(图一)允许项目拥有者将自己设置为铸币者。通过onlyIssuer修饰词(图二),外部调用者可以执行被修饰的函数。因此,拥有铸币者身份的项目拥有者可以执行具有铸币方法的issue函数(图三),从而可以为任意账户铸造任意数量的代币。
此外,该项目还存在一个允许项目拥有者提供代币奖励的后门。该后门存在于AwardContract.sol智能合约中。当AwardContract.sol在区块链上部署时,由于构造函数会自动执行,所以项目拥有者会自动成为governor(图四)。拥有governor身份的外部调用者可以类似地执行被onlyGovernor修饰的函数,例如addFreeAward函数(图六)。然后,外部调用者可以通过withdraw函数(图七)将自己的奖励提取出来。因此,当一个拥有governor身份的外部调用者为某个账户添加奖励后,该账户可以调用withdraw函数来取出奖励。
总结来说,Mercurity.finance项目中的智能合约的后门漏洞都是因为项目拥有者权限过大所导致的。在这种中心化治理机制下,项目拥有者有权利随时获利或破坏项目经济系统。
CertiK安全研究团队建议Mercurity.finance更新其治理系统,引入社区管理机制。
CertiK在此提醒广大用户:
1.合约代码在公布之前需要经过严格的安全验证和审计。
2.投资采用中心化治理机制的项目时需要权衡风险,并谨慎投资。
现在普通的交易所不一定是最安全的。比如我现在用的BTBTOP,这是一家小交易所,但由于体积小,投资成本大,没有必要为我的小钱逃跑。大型交易所并不是绝对安全的。你想要火币和Okex。这些交易所很大,但政策风险也很高,对用户...
什么是嵌套?嵌套是指金融服务提供商在另一家金融机构创建账户并使用其服务的行为。账户持有人通过嵌套账户向客户提供服务,发挥桥梁作用。造成这种情况的原因有很多。例如,一个国家的银行可以向其他国家的银行提供业务服务和生态系统,...
一、一定要静心急功躁进,做合约一定要顺势,轻仓做好止损,不要太贪心,自己定位就是短线交易赚到就走的策略。 二、一定要用自己的闲钱进去,先抱着不忠其成,先虑其败的心理准备,兼冲一对反而更容易成功。必须有小...
什么是币安(Binance)合同交易?本文将介绍币圈(Coin Circle)最受欢迎的投资商品-合约交易。本文将分析期货与合约交易的差异,然后介绍合约交易的特点U本位与货币本位的区别,最后以币安(Binance)合约交...