熟悉DeFi生态的用户都听过Sushi,它是DeFi生态中知名的去中心化交易所,和Uniswap在圈内都是顶流的交易所项目。但和Uniswap专注交易的纵向发展路径不同,Sushi除了交易所,也注重在其它领域布局。
拍卖就是Sushi除交易所之外布局的领域。而MISO就是Sushi开发的代币发售平台。这个平台今年2月上线,迄今为止运营了6个多月,整体运行处于比较平稳的状况。
但就在北京时间8月18日凌晨,多名海外的白帽黑客发现MISO平台合约中存在安全漏洞,并联手从众筹资金池中拯救回10.9万枚ETH,使Sushi避免了一场潜在的灾难。
以金额看,恐怕此次联手行动是DeFi发展史上“最大的白帽拯救行动”。此次白帽拯救行动导致BitDAO在MISO平台进行的荷兰拍中的ETH资金池提前结束。
独家 | Bakkt期货合约数据一览:金色财经报道,Bakkt Volume Bot数据显示,4月8日,Bakkt比特币月度期货合约单日交易额为1360万美元,环比下降18%,未平仓合约量为637万美元,环比上升4%。[2020/4/9]
尽管事件得以妥善解决,没有酿成大祸,但这次事件仍然给我们留下了很多值得深思的问题和教训。
灵踪安全对此次漏洞的细节分析如下:
这次出现安全漏洞的是MISO的荷兰式拍卖合约。其拍卖合约地址为:
0x4c4564a1FE775D97297F9e3Dc2e762e0Ed5Dda0e
在合约中,首要存在漏洞的是delegatecall函数调用。
独家 | USDT目前占比特币交易比重为73.85%:据cryptocompare数据显示,目前比特币交易情况按照交易币种排名,排在第一的是USDT,占比为73.85%;排在第二的是USDC,占比为10.01%;排在第三的是美元,占比为5.91%;排在第四的是日元,占比为5.35%;排在第五的是韩元,占比为1.17%。[2020/2/23]
delegatecall函数所执行的交易是外部传入的。本合约代码对delegatecall的调用使得每个交易在执行时,使用msg.value不会发生变化,因此调用者可以利用此漏洞支付一笔拍卖费用而提交多笔相同金额的拍卖订单,这相当于免费参与多次拍卖。
这部分代码在BoringBatchable.sol文件中,具体代码如下所示:
独家 | 徐坤:Bakkt的增长从侧面反映出传统投资者对加密资产很感兴趣:金色财经报道,近日,OKEx品牌战略官徐坤接受记者采访,面对“ Bakkt比特币月度期货未平仓合约续刷历史新高的主要原因有哪些”问题时表示,现在市场处于单边行情中,主流资金看涨,这是主要原因,不只是Bakkt,其他平台包括OKEx、BitMEX的未平仓合约量都在持续增加,但Bakkt的增长确实能从一个侧面反映出传统投资者对加密资产很感兴趣。[2020/2/10]
独家 | 董天一:技术变更受制于不同团体的利益之争:POW共识机制近日遭V神质疑能耗大、易形成算力集中。对此,IPFS布道者董天一在接受金色财经独家采访时指出,PoW每年的确消耗了非常多的资源,这是事实,但PoW仍然是经过实际证明的当前很好的方案。PoS刚刚开始试验,结果还是未知状态。PoW通过能源和计算资源的消耗来换取信任机制值不值得,需要从这种信任机制带来的价值上来衡量,本质上来讲PoW是将传统的中心化机构的信任机制转化为了计算资源。我们的世界为信任建了一套复杂的体系来保证,这本身消耗的资源也是非常巨大的,我现在并没有具体的数据来说明,但是预估这种资源的消耗量应该远超PoW所带来的资源消耗量。一切都可以使用经济学来解释,如果区块链技术所提供的价值(也就是为世界节约的资源)大于了我们采用其它解决方案所带来的价值,这就是高效的,值得的。技术从不会止步不前,技术会一直向前发展,区块链技术也刚刚诞生不到10年,还处于进化的初期。技术的进步可能会为我们带来更优秀(成更低)的而解决方案。
以太坊“先过度到PoW+PoS,再彻底抛弃pow”的路径实施目前看来进度很慢,董天一对此表示,以太坊的的这套方案”很难“,这其中涉及的因素也比较多,区块链分布式的共识,每一次升级实际上也是在人之间的一种共识,完成这种共识并不是一件容易的事情,不然的话比特币就不会像现在这样分叉了。技术变更除了技术本身的困难带来的阻碍,更多的还是来自于不同团体之间的利益之争。[2018/7/12]
除此以外,合约的退款逻辑放大了漏洞的攻击力。
当拍卖超过上限即auctionSuccessful()条件成立时,合约会执行退款。这个逻辑结合上面的漏洞就产生了这样的情景:
攻击者免费参与拍卖,并设置拍卖金额超过上限,从而触发合约的退款行为,取走拍卖中其他用户的资金。
退款逻辑由DutchAuction.sol合约中的withdrawTokens()函数实现,其具体代码如下所示:
这个安全漏洞最值得注意的地方是,它很早就已经被圈内认识了,并不是新发现的漏洞,因此其表现形式和特点对于成熟的审计公司而言是很容易被发现的。这样的漏洞完全可以通过审计发现,而不用等到合约上线冒如此大的风险。毕竟并不是每一个项目都能这么幸运,得到白帽黑客的帮助。但每一个项目在上线前进行详细的合约审计却是每个项目团队都应该做也必须做的。
因此我们再次提醒所有的项目方,做好项目审计是保障项目发展的第一要素。灵踪安全永远以严谨的态度和专业的技能为项目方提供踏实、周全的服务。
关于灵踪安全:
灵踪安全科技有限公司是一家专注区块链生态安全的公司。灵踪安全科技主要通过“代码风险检测+逻辑风险检测“的一体化综合方案服务了诸多新兴知名项目。公司成立于2021年01月,团队由一支拥有丰富智能合约编程经验及网络安全经验的团队创建。
团队成员参与发起并提交了以太坊领域的多项标准草案,包括ERC-1646、ERC-2569、ERC-2794,其中ERC-2569被以太坊团队正式收入。
团队参与了多项以太坊项目的发起及构建,包括区块链平台、DAO组织、链上数据存储、去中心化交易所等项目,并参与了多个项目的安全审计工作,在此基础上基于团队丰富的经验构建了完善的漏洞追踪及安全防范系统。
作者:
灵踪安全CEO谭粤飞
美国弗吉尼亚理工大学(VirginiaTech,Blacksburg,VA,USA)工业工程硕士(Master)。曾任美国硅谷半导体公司AIBTInc软件工程师,负责底层控制系统的开发、设备制程的程序实现、算法的设计,并负责与台积电的全面技术对接和交流。自2011至今,从事嵌入式,互联网及区块链技术的研究,深圳大学创业学院《区块链概论》课程教师,中山大学区块链与智能中心客座研究员,广东省金融创新研究会常务理事?。个人拥有4项区块链相关专利、3本出版著作。
关于ETH的价值和未来,社区里一直有很多讨论。一部分支持者坚定地认为ETH将成为优质的货币,而且是ultrasoundmoney;也有一部分人认为,ETH将承担起更多价值储存的功能.
1900/1/1 0:00:00纵观本周围绕以太坊伦敦硬分叉的所有活动,我注意到人们对EIP-1559(此次硬分叉的主要协议变更)有各式各样的想法。因此,我想尝试在这里概述我对这份EIP的看法,希望有助于整合这些不同的思路.
1900/1/1 0:00:00在不到30年甚至更短的时间内,人们如何从当前的NFT热潮走向一个净零碳排放的世界?常言道,技术的应用必将改变现状.
1900/1/1 0:00:001.金色观察|一文探秘以太坊中的企业区块链加密世界里,以太坊是绝对的王者世界,使用过的用户都在用以太坊的主网,但你是否知道,在以太坊主网上还可以建立私链,就像私服一样.
1900/1/1 0:00:00如果让你用一句话形容Web3.0,你会怎么形容?MakeInternetGreatAgain?(让互联网再次伟大)让数据所有权回归每个人?让信息与价值完全自由流动?我觉得都没毛病.
1900/1/1 0:00:00头条▌马斯克:狗狗币是支付方面最强的加密货币金色财经报道,特斯拉CEO埃隆·马斯克再次强调,Dogecoin以比其他加密货币更好的方式实现了支付手段的属性.
1900/1/1 0:00:00