TOR:CertiK：SushiSwap智能合约漏洞事件分析

北京时间8月28日，CertiK安全研究团队发SushiSwap项目智能合约中存在多个安全漏洞。该漏洞可能被智能合约拥有者利用，允许拥有者进行包括将智能合约账户内的代币在没有授权的情况下取空等操作在内的任意操作。同时该项目智能合约还存在严重的重入攻击漏洞，会导致潜在攻击者的恶意代码被执行多次。技术解析

Larry Cermak：币安领投了Terra 2019年种子轮融资和2021年的融资:5月15日消息，The Block研究副总裁Larry Cermak在推特上表示，很容易理解为什么CZ（赵长鹏）一连发布了多条关于LUNA的推文。币安领投了Terra 2019年的种子轮融资和2021年的融资。在大概6个月前结束的上一轮融资中，他们以4年vest和1年cliff（最短生效期）投资了3亿美元（与Jump Crypto相同）。

此前消息，Luna Foundation Guard（LFG）宣布完成10亿美元融资，本轮融资通过场外销售LUNA代币完成，由Jump Crypto和三箭资本领投，Republic Capital、GSR、Tribe Capital、DeFiance Capital等参投。[2022/5/15 3:17:13]

PantySwap官方称CertiK未经证实，迁移所有者疑为死地址:官方消息，对于安全公司CertiK称，PantySwap项目存在高风险，所有者（不是TimeLock）可以利用MasterChef的迁移功能来耗尽所有LP代币，有跑路风险，警告不要参与。PantySwap转发回复表示，正在与CertiK联系解决这个问题，因为他们在这里谈论“客观审查”，而甚至是未经证实，并质疑其分享“未经证实”的说法。此外，多名网友回复称迁移所有者是一个死地址，PantySwap对该说法进行了转发。[2021/6/7 23:17:32]

MasterChief.sol:131图片来源：https://github.com/sushiswap/在SushiSwap项目MasterChief.sol智能合约的131行中，智能合约的拥有者可以有权限来设定上图中migrator变量的值，该值的设定可以决定由哪一个migrator合约的代码来进行后面的操作。

Kava旗下应用Harvest.io通过Certik的代码审计:区块链安全公司CertiK对Kava旗下应用Harvest.io模块的代码系统进行了审计，未发现重大或关键漏洞，验证了应用的可信度。

Harvest.io是一个跨链货币市场，也是首批搭建在Kava区块链上的应用之一。Harvest支持加密用户能够使用主流加密货币进行借贷和赚取收益。[2020/10/27]

MasterChief.sol:136。图片来源：https://github.com/sushiswap/当migrator的值被确定之后，migrator.migrate(lpToken)也就可以被随之确定。由migrate的方法是通过IMigratorChef的接口来进行调用的，因此在调用的时候，migrate的方法中的逻辑代码会根据migrator值的不同而变化。简而言之，如果智能合约拥有者将migrator的值指向一个包含恶意migrate方法代码的智能合约，那么该拥有者可以进行任何其想进行的恶意操作，甚至可能取空账户内所有的代币。同时，在上图142行中migrator.migrate(lpToken)这一行代码执行结束后，智能合约拥有者也可以利用重入攻击漏洞，再次重新执行从136行开始的migrate方法或者其他智能合约方法，进行恶意操作。该漏洞的启示

·智能合约拥有者不应该拥有无限的权利，必须通过社区监管及治理(governance)来限制智能合约拥有者并确保其不会利用自身优势进行恶意操作。·智能合约代码需要经过严格的安全验证和检查之后，才能够被允许公布。当前SushiSwap项目创建者表示，已将该项目迁移到时间锁定合约，即任意SushiSwap项目智能合约拥有者的操作会有48小时的延迟锁定。在此CertiK技术团队建议大家在智能合约公布前，尽量寻找专业团队做好审计工作，以免项目出现漏洞造成损失。

标签：RATSWAPCERTORTRATzkswap币最新消息certik币价Vectorspace

中币热门资讯