certik:CertiK：Text.finance智能合约安全漏洞分析

北京时间11月12日，CertiK安全研究团队发现DeFi项目text.finance智能合约代码部分存在安全漏洞。分析之前，先考考大家的眼力，看看下图里面的文字说了什么。

如果看不清，不妨点击图片后把屏幕亮度调至最高。有的时候，某些不想让你看到的因素，正是通过排版或者这样的方式，被刻意隐藏了起来。接下来说说该项目中存在的两处漏洞。大家不妨在阅读文章的时候注意一下图中的位置。第一弹：项目拥有者可通过第一处漏洞，将指定数目代币转移到任意地址。第二弹：项目拥有者可通过第二处漏洞，将任意投资者的流动性池中的资产强制转移到项目拥有者的地址中。漏洞分析

CertiK：Pika Protocol项目Discord服务器已被入侵:金色财经报道，据CertiK监测，Pika Protocol项目Discord服务器已被入侵，有黑客发布钓鱼链接。在团队确认已重获对服务器的控制之前，请勿点击任何链接。[2023/5/31 11:50:17]

textMiner.sol部署地址:https://etherscan.io/address/0x9858728de38c914c2ea32484a113b6628d984a82#code1.漏洞一项目拥有者在textMiner.sol智能合约1000行处实现了withUpdates()函数。该函数的的作用是可以将任意数量的为devaddr地址铸造任意数量的代币。而通过查看图2中devaddr和项目拥有者owner的地址值，可以发现两者相同，因此项目拥有者可以通过该漏洞为devaddr地址铸造任意数目代币。同时，当前的devaddr地址拥有者可以通过图3的dev()函数将devaddr地址值更换到另外一个地址，因此最终项目拥有者可以更换将devaddr地址值更换的方法，向任意地址中铸造任意数目代币。虽然项目拥有者将图1中的withUpdates()函数设置为不允许智能合约外部调用，但是却有意地在图4中919行实现了允许被外部调用的add()函数，然后通过921行代码调用withUpdates()函数，从而实现向devaddr地址铸造1000000000000000000000000000000数量代币。

SaucerSwap：Hedera网络被攻击，建议用户撤回流动资金:3月10日消息，Hedera 上 DeFi 项目 SaucerSwap 发推称，一个持续的漏洞攻击了 Hedera 网络，该漏洞利用的目标是智能合约中的反编译过程。攻击者已经攻击了包含包装资产的 Pangolin 和 HeliSwap 池。不确定其他 HTS 代币是否也有风险。目前还没有关于 SaucerSwap 用户资金被盗的报道，但作为预防措施，鼓励大家立即撤回流动资金。

此前消息，HBAR 基金会发推称，Hedera 网络上 DApp 及其用户正在受网络异常影响，基金会正在与受影响的合作伙伴进行沟通，帮助解决问题。[2023/3/10 12:53:14]

CertiK宣布融资6000万美元，投资方包括SoftBank Vision Fund II与Tiger Global:金色财经消息，Web3和区块链安全公司CertiK宣布融资6000万美元，投资方包括软银愿景基金2（SoftBank Vision Fund II）和Tiger Global，标志着软银首次涉足Web3安全领域。这也意味着该公司在9个月的时间里总共融资2.9亿美元，进一步巩固了其独角兽地位。

此次融资正值区块链社区围绕Web3应用程序开发引领增长，并为虚拟生态系统创建新的用例，特别是在游戏、NFT和DeFi方面之际。CertiK的营销副总裁Monier Jalal表示：“随着Web3开发和随之而来的黑客攻击趋势的增加，这种巨大的影响推动了对Web3安全的需求。”

4月7日消息，CertiK宣布近日完成8800万美元B3轮融资，估值达到20亿美元，此次融资由Insight Partners、Tiger Global和Advent International领投，高盛、 Sequoia Capital和Lightspeed Venture Partners等参投。（Cointelegraph）[2022/4/22 14:42:04]

图1：第1000行中的withUpdates()函数

去中心化组织PieDAO发布USD++ Balancer池:在Balancer协议上构建多样化代币池的去中心化组织PieDAO在周二宣布主网发布USD++池。该池将几个与美元挂钩的顶级稳定币组合成一个可交易的代币。USD++池将包含DAI、sUSD、TUSD和USDC。USDC将占USD++池的47%以上，而sUSD权重最低，不到4%。

加权策略旨在为中长期持有者创造低波动性和信任最小化。（Decrypt）[2020/6/18]

图2：devaddr地址以及项目拥有者owner地址

图3：dev()函数

图4：add()函数2.漏洞二

图5：emergencyWithdraw()函数项目拥有者可以通过调用图5中emergencyWithdraw()函数，将某一个特定地址投资者的某一个流动性池中的流动性资产全部取出，并转移到项目拥有者的地址中。该emergencyWithdraw()函数是一个基于正确的emergencyWithdraw()函数。因此就算审视合约者不恶意揣测，也很难说项目方不是恶意改写，并添加了该漏洞。从下图6的对比中可以发现，Sushiswap允许投资者通过调用emergencyWithdraw()函数，紧急取出属于自己的流动性资产，而在text.finance中却仅允许项目拥有者来调用该函数，同时允许项目拥有者取出属于任何投资者的流动性资产。

图6：text.finance和sushiswap项目中emergencyWithdraw()函数实现对比安全建议

CertiK安全研究团队认为当投资者在对DeFi项目进行投资时，不仅需要对智能合约常见的代码有所了解，更需要谨慎地审视具体代码的实现逻辑。否则极易掉入类似该项目中的恶意漏洞陷阱当中。对于非技术背景的投资者，更需要了解项目是否经过严谨的技术审计。从Text.finance项目的恶意漏洞中可以看出，盲目投资一个没有经过严格审计的项目，或引发极大风险，并造成难以估量的损失。CertiK是采用形式化验证工具来证明智能合约可靠性的业内顶尖公司。公司内部审计专家将利用包括形式化验证在内的多种软件测试方法，结合一流的白帽黑客团队提供专业渗透测试，从而确保项目从前端到智能合约整体的安全性。如你的项目需要保障，请发送邮件至bd.china@certik.org或直接后台留言进行免费咨询及报价。于此同时，CertiK的新产品预言机及快速扫描，也将为链上项目进行实时打分并且出具快速扫描分数。如果你需要查找某项目的信息及安全分数，请登录CertiKFoundation官网的CertiKShield页面进行浏览：https://shield.certik.foundation/欢迎搜索微信关注CertiK官方微信公众号，点击公众号底部对话框，留言免费获取咨询及报价！

标签：CERcertikTIKERTcere币最新certik币价PLASTIKCoin Fast Alert

BNB热门资讯