DEV:CertiK：SushiSwap仿盘YUNO与KIMCHI智能合约漏洞或存安全隐患

北京时间8月31日和9月1日，CertiK安全研究团队发现Sushiswap仿盘的两个项目YUNoFinance(YUNO)与KIMCHI.finance(KIMCHI)，其智能合约均存在漏洞。如果利用该漏洞，智能合约拥有者可以无限制地增发项目对应的代币数目，导致项目金融进度通胀并最终崩溃。

无限增发漏洞

CertiK：Peter Schiff的Twitter帐户遭入侵:金色财经报道，据CertiK称，加密货币批评者Peter Schiff的Twitter帐户遭入侵，黑客已经发布了一条指向钓鱼网站的推文。CertiK建议不要点击该链接或与之互动。

金色财经此前报道，Peter Schiff将从6月2日开始到6月9日拍卖其BTC Ordinals NFT艺术收藏。[2023/6/3 11:55:59]

以Yuno项目中智能合约为例，CertiK安全研究团队对于该无限增发漏洞进行了详细分析，技术细节如下：在Yuno项目中的MasterChef.sol智能合约第1354行中，dev方法可以允许当前拥有devaddr身份的智能合约调用者，将devaddr身份转移给另外一个地址。

SaucerSwap：Hedera网络被攻击，建议用户撤回流动资金:3月10日消息，Hedera 上 DeFi 项目 SaucerSwap 发推称，一个持续的漏洞攻击了 Hedera 网络，该漏洞利用的目标是智能合约中的反编译过程。攻击者已经攻击了包含包装资产的 Pangolin 和 HeliSwap 池。不确定其他 HTS 代币是否也有风险。目前还没有关于 SaucerSwap 用户资金被盗的报道，但作为预防措施，鼓励大家立即撤回流动资金。

此前消息，HBAR 基金会发推称，Hedera 网络上 DApp 及其用户正在受网络异常影响，基金会正在与受影响的合作伙伴进行沟通，帮助解决问题。[2023/3/10 12:53:14]

Balancer敦促部分LP尽快移除流动性:金色财经报道，Balancer敦促其部分流动性提供者（LP）尽快从五个资金池中提取资金。Balancer表示，为避免即将公开披露的问题，已将部分Balancer池的协议费用已设置为0，目前正常运行。

但因部分流动性池中相关问题无法被解决，Balancer 敦促部分 LP 尽快提取流动性，包括以太坊主网上的 DOLA / bb-a-USD（当前锁仓额 360 万美元）、Polygon 上的 bb-am-USD/miMATIC（锁仓额 9000 美元）、Optimism 上 Beethoven X（由 Balancer 驱动）的It's MAI life（锁仓额 110 万美元）和Smells Like Spartan Spirit（锁仓额9万美元）以及Fantom上Beethoven X的Tenacious Dollar（锁仓额160万美元）。[2023/1/7 10:59:30]

截图出自：https://etherscan.io/下图中可以看到在智能合约1282行的mint方法是由修饰器onlyOwner进行限制，修饰器onlyOwner决定了只能是智能合约拥有者来执行这个合约。

动态 | EOS42提出 对reg_producer 合约的修改建议 包含惩罚节点的措施:据 IMEOS 报道，EOS42 发文阐述了对 reg_producer 合约的修改建议，包含了惩罚节点的措施。EOS42 将 reg_producer 分解为三个主要目标：通过在reg_producer 合约中设定标准的方式，使得可以对出块节点问责，其最终目的是确保 EOS 网络性能足以为 DAPPs 提供可靠支持，帮助 EOS 代币持有人进行明智投票，并通过客观地保留不能变更的 EOS 区块链的方式保护 EOS 用户。[2019/2/15]

以上三截图均出自：https://etherscan.io/拥有devaddr身份的调用者，当其身份恰好同时为owner身份的时候，可以通过调用MasterChef.sol智能合约1282行的mint方法，来无限制的增发代币。1282行的mint方法会继续调用1130行的mint方法，并继续由1130行mint方法调用1044行的_mint方法，并最终完成代币增发的操作。Kimichi项目智能合约中存在的无限增发漏洞与以上漏洞基本相同，因此在这里不进行重复叙述。如果owner和devaddr的地址如果相同，那么在外部没有对智能合约拥有者限制的情况下，智能合约拥有者拥有权利增发任意数量的代币，这将会将投资者置于风险之中。那么Yuno和Kimichi这两个项目中的devaddr和owner是否为同一人呢？是否有其他外部制约机制可以限制这两个项目的智能合约拥有者呢？下图为Yuno项目MasterChef.sol智能合约中拥有devaddr和owner身份的地址。

截图出自：https://etherscan.io/下图为Kimichi项目中KimchiChef.sol智能合约中拥有devaddr和owner身份的地址。

截图出自：https://etherscan.io/从上两图中可以看到，Yuno项目中拥有devaddr和owner身份的地址为同一个，因此其智能合约拥有者有权利进行无限制的代币增发。而Kimichi项目中拥有devaddr和owner身份不同，但由于devaddr的身份可以进行转移，因此也存在一定的风险。目前措施

为了确保无限增发漏洞不会被触发，对于Yuno和Kimichi两个项目的智能合约拥有者必须由外部进行限制。当前已经实施的限制条件与Sushiswap项目一致，即对任何由智能合约拥有者进行的智能合约操作，均有48小时的延迟。任何来自智能合约拥有者的操作都会被所有投资者观察到，并有48小时进行应对操作。CertiK安全团队建议

当前DeFi以及相关Farming项目异常火爆，由于区块链项目对于项目代码公开性有要求，因此上线新项目门槛极低。如果盲目借鉴其他项目，任意漏洞都可能被引入到项目中。因此在项目上线之前，应该对项目进行严格的安全审计。从投资者角度，当前Farming项目动辄百分之几千的回报率，极易促使投资者在没有对项目本身有足够了解的情况下进行盲目投资。例如SushiSwap，Yuno以及Kimchi三个项目均没有经过严谨的安全验证就快速上线。投资者可能会被巨大的利益回报迷惑，将宝贵资金投入到有极大风险的智能合约中。

标签：CERCHIDEVVADPaycer ProtocolCHI价格DEVE币VADER价格

中币交易所热门资讯