Première version | Le contrat intelligent basé sur le projet DeFi a une faille, que s'est-il passé?

"Il n'est jamais trop tard pour y remédier" est un dicton qui est vrai la plupart du temps dans la vie. Cependant, face à la sécurité du réseau, une faille peut entraîner des pertes irréparables.

Être découvert avant que les problèmes de sécurité ne causent des pertes irréparables, ou être entièrement préparé dès le début, est la première priorité de la sécurité en tant que praticien de la blockchain.

Dans l'après-midi du 14 août, heure de Pékin, l'équipe de technologie de sécurité de CertiK a découvert que le projet d'agriculture anonyme DeFi Based a officiellement annoncé qu'un attaquant avait gelé le pool 1 en appelant une fonction dans le contrat intelligent Based, et a annoncé qu'il redéploierait son pool. Un.

Première version | La technologie Blockchain et la base de pratiques de sécurité logicielle officiellement établies : Jinse Finance a rapporté qu'aujourd'hui, la branche Blockchain de la China Soft Association, l'Université populaire de sécurité publique et le bureau de la sécurité publique de la ville de Heze ont conjointement construit une base de pratiques de technologie blockchain et de sécurité logicielle officiellement établie. Dans le même temps, Song Ailu, secrétaire général adjoint de la branche Blockchain de la China Software Association, a été embauché en tant qu'expert spécial dans la base de pratique de la technologie blockchain et de la sécurité logicielle.

La base de pratique de la technologie blockchain et de la sécurité logicielle concerne principalement les domaines suivants : transactions illégales en monnaie numérique et blanchiment d'argent, schémas pyramidaux blockchain et fraude télécom, jeux d'argent en ligne, paiement à quatre, enregistrement frauduleux de marque, etc., gouvernance sociale conjointe, sécurité urbaine , technologie de pointe Les experts de l'industrie dans le domaine coopèrent avec l'Association de la police.

Selon des rapports publics, les organes de sécurité publique de la ville de Heze viennent de résoudre récemment une énorme affaire de fraude sur les réseaux de télécommunications, d'écraser un certain nombre de gangs frauduleux soupçonnés d'utiliser des prêts en ligne et d'investir dans le "bitcoin", d'arrêter 83 suspects et de saisir et geler le fonds impliqués dans l'affaire 27 millions de yuans. [2020/7/21]

Le tweet officiel indiquait que les pirates avaient tenté de geler "Pool1" de manière permanente, mais la tentative avait échoué. Et "Pool1" continuera comme prévu.

Première version | Vice-président des affaires mondiales du groupe Huobi : La supervision déterminera la vitesse de la technologie de la blockchain et de l'atterrissage de la crypto-monnaie : le 21 janvier, Ciara Sun, vice-présidente des affaires mondiales du groupe Huobi, a déclaré lors du Forum économique mondial de Davos que le district 2019 est une année importante pour l'attitude réglementaire de la blockchain et de la monnaie numérique. Aux États-Unis, à la fin de 2019, il y avait 21 projets de loi visant la politique de crypto-monnaie et de blockchain.Ces projets de loi incluent des questions fiscales, des structures réglementaires, des fonctions de suivi et des approbations ETF, que les agences fédérales réglementent les actifs numériques, etc. L'Union européenne (UE) a mis en œuvre une nouvelle loi le 10 janvier 2020, obligeant les plateformes de crypto-monnaie à adopter des pratiques anti-blanchiment plus strictes. La Suisse, le Japon, la Lituanie, Malte et le Mexique ont adopté des lois exigeant que les échanges soient autorisés conformément aux directives KYC et AML. Des pays comme la Chine, la Turquie, la Thaïlande et d'autres prévoient leurs propres monnaies numériques de banque centrale (CBDC). La réglementation déterminera la vitesse à laquelle la technologie blockchain et les crypto-monnaies seront mises en œuvre. [2020/1/22]

En analysant le smart contract, CertiK estime que le gel du pool n°1 du projet Based était un accident causé par une faille du smart contract.

Première version | DVP : Les vulnérabilités dans l'échange Bitstamp peuvent entraîner la fuite d'une grande quantité de KYC et d'autres informations : Golden Finance News, récemment, DVP a reçu une vulnérabilité dans l'échange de renommée mondiale Bitstamp soumis par le personnel de sécurité. Les attaquants peuvent l'utiliser. vulnérabilité pour afficher un grand nombre d'identifiants d'utilisateurs, les informations sensibles telles que les cartes bancaires constituent une menace sérieuse pour la sécurité des informations des utilisateurs. Afin d'éviter l'incident vicieux de la fuite KYC, l'équipe de sécurité DVP a demandé à la plate-forme de la réparer dès que possible après avoir reçu la vulnérabilité, mais n'a pas reçu de réponse. DVP rappelle aux utilisateurs concernés de prêter attention à la sécurité des informations personnelles pour éviter les pertes. [2019/8/13]

Le premier BM d'IMEOS a déclaré que les contrats EOS avaient une protection contre les débordements entiers : selon IMEOS, un média coopératif de Jinse Finance, l'ETH a récemment rencontré plusieurs erreurs de débordement de traitement de contrat intelligent ERC20, et BM a commenté sur Twitter : le nouveau bogue du contrat ETH peut détruire l'ensemble Token La fourniture de jetons permet aux détenteurs de laisser des jetons sans valeur, c'est pourquoi le code ne peut pas devenir loi, et cela signifie immédiatement que le contrat EOS erc n'est pas vulnérable à cette attaque. Certaines personnes du groupe officiel EOS ont également exprimé leur inquiétude quant à savoir si EOS dispose d'une protection contre le débordement d'entier ? Réponse de BM : Il existe de nombreuses classes de modèles C++ qui encapsulent des types et vérifient le débordement. [2018/4/25]

L'équipe basée a déployé le contrat intelligent de pool n ° 1 et l'adresse de déploiement est 0x77caF750cC58C148D47fD52DdDe43575AA179d1f.

Based déclare officiellement le propriétaire du contrat intelligent en appelant la fonction renounceOwnership dans le contrat intelligent, mais n'initialise pas le contrat intelligent.

Étant donné que la fonction d'initialisation dans le contrat intelligent basé est configurée à tort pour être appelée en externe, pendant le processus d'initialisation du contrat intelligent, le contrat intelligent du pool n° 1 est initialisé par un attaquant externe avec une valeur erronée.

La mauvaise initialisation a rendu l'officiel de Based incapable de réinitialiser le contrat intelligent du pool n° 1, de sorte que le pool n° 1 a été gelé et tout engagement n'a pas pu être complété.

Based a officiellement décidé d'abandonner le contrat intelligent et de redéployer le contrat intelligent de pool n ° 1.  

1. Après avoir déployé le contrat intelligent, l'équipe basée n'a pas appelé la fonction d'initialisation dans la figure suivante à temps pour initialiser les paramètres du contrat intelligent :

2. L'appelant externe a profité de la différence de temps entre le déploiement et l'initialisation du smart contract par l'équipe Based, et en a profité pour appeler la fonction d'initialisation à la ligne 671 dans la figure ci-dessous dont la plage d'appel était mal définie pour initialiser le smart contract du pool n°1 en premier :

3. Les deux fonctions d'initialisation de la figure ci-dessus sont modifiées par le modificateur de l'initialiseur. Selon le code, si l'une des fonctions d'initialisation est appelée, l'autre fonction d'initialisation ne peut pas être appelée. Le code modificateur d'initialisation est illustré dans la figure ci-dessous, ce qui a fait perdre à la base officielle la possibilité d'initialiser la fonction :

4. Sur la base des facteurs ci-dessus, le contrat intelligent Based ne peut pas être officiellement initialisé correctement, de sorte qu'aucun engagement ne peut être effectué.

Enregistrement de la transaction de l'échec de la promesse :

L'incident a été essentiellement causé par une vulnérabilité dans le contrat intelligent, mais si l'équipe Based remarquait cette vulnérabilité tôt et initialisait le contrat intelligent à l'avance, le danger pourrait être complètement évité et le pool n°1 serait gelé. Par conséquent, l'équipe de technologie de sécurité CertiK fait les recommandations suivantes :

Lors du déploiement de contrats intelligents, des outils tels que les scripts de commande nécessaires pour initialiser les contrats intelligents doivent être préparés, et les contrats intelligents doivent être initialisés en temps opportun pour empêcher les attaquants d'initialiser de manière préventive ou de manipuler de manière malveillante les contrats intelligents en profitant de la différence de temps entre les opérations de déploiement. et les opérations d'initialisation.

Les développeurs doivent maîtriser les principes de fonctionnement et les détails techniques des contrats intelligents, et ne doivent pas adopter aveuglément d'autres codes de contrats intelligents.

Une équipe de sécurité tierce professionnelle ou des experts en sécurité interne peuvent être invités à auditer son contrat intelligent pour garantir la sécurité et la fiabilité du contrat intelligent.

Tags：

DOT