TER:首发 | Uniswap上的代币项目跑路？NUGS合约漏洞分析

大家在学生时代是否有过这样的经历：

考试的时候把较难的题都做对了，却因为简单的题丢了分。

老师经常说，那些拿满分?的好学生，都是既抓住了难题，同时也没放过简单的题目。

北京时间8月11日，CertiK安全研究团队发现基于以太坊的代币项目NUGS出现安全问题，其智能合约中存在安全漏洞，致使其代币系统出现巨额通胀。由于该智能合约的安全漏洞无法被修复，因此最终NUGS项目官方发布公告决定放弃该项目，存入其中的代币也无法被取出。官方公告如下图：

LBANK蓝贝壳于3月22日18:00首发 DORA，开放USDT交易:据官方公告，3月22日18:00，LBANK蓝贝壳首发DORA(Dora Factory)，开放USDT交易，现已开放充值。

资料显示，Dora Factory 是基于波卡的 DAO 即服务基础设施，基于 Substrate 的开放、可编程的链上治理协议平台，为新一代去中心化组织和开发者提供二次方投票、曲线拍卖、Bounty 激励、跨链资产管理等可插拔的治理功能。同时，开发者可以向这个 DAO 即服务平台提交新的治理模块，并获得持续的激励。[2021/3/22 19:07:06]

CertiK安全研究团队研究NUGS项目部署的智能合约，发现其安全漏洞存在于doLottery和_doLottery这两个函数中。

首发 | 区块链技术及软件安全实战基地正式成立:金色财经报道，今日，中软协区块链分会、人民大学、菏泽市局相关部门联合共建的区块链技术及软件安全实战基地正式成立。同时聘任中软协区块链分会副秘书长宋爱陆为区块链技术及软件安全实战基地特别专家。

区块链技术及软件安全实战基地主要涉及领域为：非法数字货币交易与、区块链与电信、网络、四方支付、冒用商标注册等，联合社会治理、城市安全、前沿技术领域的行业专家，进行警协合作。

据公开报道，近期菏泽市下属机关刚破获一起特大电信网络案，打掉多个涉嫌以网贷和投资“比特币”为名的团伙，抓获犯罪嫌疑人83名，扣押冻结涉案资金2700万元。[2020/7/21]

根据其智能合约的功能分析，NUGS代币项目是一个类似于彩票抽奖的系统。

首发 | 百度财报体现区块链 BaaS平台成为新战略重点:金色财经报道，2020年2月28日，百度（股票代码BAIDU）公布财报，其中将区块链BaaS平台相关的进展进行了单独叙述，依托于百度智能云的区块链平台有望成为技术创新方向的新增长引擎。在AI服务上，百度与上海浦东发展银行达成合作，共建区块链联盟，在百度区块链服务（BaaS）平台上实现跨行信息验证。[2020/2/28]

项目参与者向该智能合约中存入资金，这些资金会汇入当前彩票抽奖轮次的奖池中。然后每当经过一段时间后，智能合约会允许外部调用者调用下图中的doLottery函数来抽取当前彩票抽奖轮次的赢家，决定这个赢家的条件是这位外部调用者的地址以及当前彩票抽奖奖池中的奖金总量。而这位外部调用者会收到一部分奖金作为“开启”彩票抽奖奖池的奖励。

从上图中可以发现，通过第15行代码可以获得当前彩票抽奖奖池中的奖金数额。第20~22行代码显示，一部分奖金会奖励给外部调用doLottery函数的用户，这位用户也就是实际上的此次彩票轮次的“开奖嘉宾”。然后在25~28行中，扣除奖励给外部调用者的奖励之后的剩余奖金会被发送给本轮彩票的赢家。之后本轮彩票的开奖阶段结束。

该智能合约出现的问题在于：当在一次彩票抽奖完成后，彩票池中的奖金额没有被清零，导致了下一次彩票轮次开时，彩票池中依旧有上一次彩票池中奖金的数额，也就是彩票奖池中的初始奖金额会被错误的设置为上一次彩票抽奖结束后奖池中的最终奖金数目，而正确的初始奖金额应该为“零”。

每一次开奖时的奖金额都会被记录传递到下一次抽奖的初始奖池中，这样就会最终导致彩票池中的奖金越来越多，从而造成代币通胀并飞快贬值。

由于智能合约的一旦上链就无法更新的特性，使得NUGS项目官方无法将漏洞修复，因此只能选择将该项目遗弃。

该事件中智能合约的的安全漏洞较为简单易懂，属于专业智能合约开发者通常不会出现的错误。整个项目都建立好了，却因为一道“简单题”丢了分。而智能合约的项目一旦“丢分”，整个项目的命运都将被改变。

因此，CertiK安全团队建议：任何代币项目使用的智能合约都需要经过严谨的安全验证之后再上链。如果否则一旦出现错误就极易产生不可挽回的损失。建立一个项目要花费不少的人力物力，甚至要攻克各种“疑难杂症”。在简单问题上栽了跟头，而将整个项目彻底下架也令人唏嘘。如果在交卷前，一个专业的导师能够帮助项目检查一遍“试卷”，把握好难题的正确同时也确保简单问题不会出现任何闪失，那么谁不希望有这样的专业人士来把关呢？

标签：区块链NUGNUGSTER什么叫做区块链技术NUGGET币NUGS币suter币价格

欧易交易所app官网下载热门资讯