法国比特币交易平台首发智能合约安全漏洞分析

造成如今这个混乱结果的主要原因在于美国没有设立独立的选举委员会来处理大选事务，而是由新闻机构承担了这个角色。如果川普掌控大多数新闻机构，他可能会操控选票，这样的结果还不确定。

因此，可以说这是一场极度中心化的“媒体选举”，这在选举、互联网和区块链等领域都有体现。2020年，中心化不再是权威的象征，而是“独断”、“专权”的代名词。

11月9日，CertiK安全研究团队发现DeFi项目Mercurity.finance的智能合约代码存在中心化风险。项目拥有者拥有过大的权限，可以任意铸币并为特定账户提供任意的奖励。

具体技术分析如下：

ERC20Token.sol的智能合约构造函数（图一）允许项目拥有者将自己设置为铸币者。通过onlyIssuer修饰词（图二），外部调用者可以执行被修饰的函数。因此，拥有铸币者身份的项目拥有者可以执行具有铸币方法的issue函数（图三），从而可以为任意账户铸造任意数量的代币。

此外，该项目还存在一个允许项目拥有者提供代币奖励的后门。该后门存在于AwardContract.sol智能合约中。当AwardContract.sol在区块链上部署时，由于构造函数会自动执行，所以项目拥有者会自动成为governor（图四）。拥有governor身份的外部调用者可以类似地执行被onlyGovernor修饰的函数，例如addFreeAward函数（图六）。然后，外部调用者可以通过withdraw函数（图七）将自己的奖励提取出来。因此，当一个拥有governor身份的外部调用者为某个账户添加奖励后，该账户可以调用withdraw函数来取出奖励。

总结来说，Mercurity.finance项目中的智能合约的后门漏洞都是因为项目拥有者权限过大所导致的。在这种中心化治理机制下，项目拥有者有权利随时获利或破坏项目经济系统。

CertiK安全研究团队建议Mercurity.finance更新其治理系统，引入社区管理机制。

CertiK在此提醒广大用户：

1.合约代码在公布之前需要经过严格的安全验证和审计。

2.投资采用中心化治理机制的项目时需要权衡风险，并谨慎投资。