Échange de crypto Échange de crypto
Ctrl+D Échange de crypto
ads

Première version | Analyse des événements de vulnérabilité de sécurité des contrats intelligents Sushiswap

Author:

Time:

Le 28 août, heure de Pékin, l'équipe de recherche en sécurité de CertiK a découvert qu'il existait de multiples failles de sécurité dans le contrat intelligent du projet sushiswap. Dans le même temps, le contrat intelligent du projet présente également une grave vulnérabilité d'attaque par réentrance, qui entraînera l'exécution multiple du code malveillant de l'attaquant potentiel.

Étapes techniques :

LBANK Blue Shell a lancé DORA à 18h00 le 22 mars et a ouvert le trading USDT : Selon l'annonce officielle, à 18h00 le 22 mars, LBANK Blue Shell a lancé DORA (Dora Factory), a ouvert le trading USDT et est maintenant ouvert pour recharger.

Selon les données, Dora Factory est une infrastructure DAO-as-a-service basée sur Polkadot, une plate-forme de protocole de gouvernance en chaîne ouverte et programmable basée sur Substrate, et fournit un vote quadratique, des enchères en courbe et Bounty pour une nouvelle génération de organisations et développeurs décentralisés Fonctions de gouvernance enfichables telles que les incitations et la gestion des actifs inter-chaînes. Dans le même temps, les développeurs peuvent soumettre de nouveaux modules de gouvernance à cette plate-forme DAO-as-a-service et recevoir des incitations continues. [2021/3/22 19:07:06]

MasterChief.sol:131 https://github.com/sushiswap/sushiswap/blob/master/contracts/MasterChef.sol

Actualités | Lancement d'une identité numérique éducative crédible dans le district de Baiyun, à Guangzhou Utilisation de la blockchain et d'autres technologies : Le 25 décembre, la cérémonie de lancement et le séminaire d'application du projet pilote d'application de l'identité numérique éducative de confiance (carte d'éducation) de la province du Guangdong se sont tenus dans le district de Baiyun, à Guangzhou.

Selon les rapports, l'intégration crédible de l'identité numérique dans l'éducation adopte des technologies de base telles que le cryptage national et la blockchain, et émet de manière innovante des identités numériques intégrées dans l'environnement réseau de "l'informatique en nuage, l'informatique de pointe et l'informatique mobile", réalise une gestion intégrée des clés et construit « Chaîne d'identité éducative de confiance ». (Réseau d'information chinois) [2019/12/25]

À la ligne 131 du contrat intelligent MasterChief.sol du contrat intelligent du projet sushiswap, le propriétaire du contrat intelligent peut avoir le pouvoir de définir la valeur de la variable migrateur dans la figure ci-dessus, et le réglage de la valeur peut déterminer quel migrateur code contrat à paramétrer Effectuez les opérations suivantes.

Les débuts d'IMEOS EOS Go annonce deux nouvelles conditions d'enregistrement : Selon le rapport IMEOS du partenaire Jinse Finance : Aujourd'hui, EOS Go a annoncé deux nouvelles conditions d'enregistrement sur steemit :

1. Planifier pour assurer la sécurité : si le nœud candidat publie un article sur steemit pour présenter la méthode et le plan de sécurité du nœud. La norme "méthode de sécurité" est l'occasion de montrer aux électeurs d'EOS la connaissance des meilleures pratiques de sécurité et le plan de mise en œuvre de l'organisation ;

2. Position : Décrivez la position du nœud pour partager les récompenses d'inflation et/ou distribuer les dividendes aux détenteurs de jetons EOS (les nœuds candidats sont publiés sur steemit). Les deux questions suivantes sont principalement élaborées :

L'organisation fournira-t-elle des paiements aux électeurs du jeton EOS pour quelque raison que ce soit, y compris les élections BP et les conseils de la communauté ?

L'organisation a-t-elle une politique écrite de paiement sans billet ? Si oui, veuillez fournir un lien. [2018/4/27]

MasterChief.sol : 136 https://github.com/sushiswap/sushiswap/blob/master/contracts/MasterChef.sol

Lorsque la valeur de migrateur est déterminée, le code de la ligne 142 dans la figure ci-dessus, migrateur.migrate(lpToken) est également déterminé en conséquence, et la méthode de migration est appelée via l'interface de IMigratorChef, donc lors de l'appel, migrate Le code logique dans la méthode changera en fonction de la valeur du migrateur.

En bref, si le propriétaire du contrat intelligent pointe la valeur de migrateur vers un contrat intelligent contenant un code de méthode de migration malveillant, alors le propriétaire peut effectuer toutes les opérations malveillantes qu'il souhaite, et peut même vider tous les jetons du compte.

Dans le même temps, après avoir exécuté la ligne de code migrateur.migrate(lpToken) à la ligne 142 de la figure ci-dessus, le propriétaire du contrat intelligent peut également utiliser la vulnérabilité d'attaque de réentrance pour réexécuter la méthode de migration à partir de la ligne 136 ou d'une autre méthode intelligente. méthodes contractuelles pour effectuer une opération malveillante.  

Le créateur du projet sushiswap actuel a déclaré que le projet a été ajouté à l'affichage du contrat timelock (timelock), c'est-à-dire que le fonctionnement de tout propriétaire de contrat intelligent du projet sushiswap aura un délai de verrouillage de 48 heures.

Révélation de cette vulnérabilité :

Les propriétaires de contrats intelligents ne devraient pas avoir des droits illimités, et la gouvernance communautaire doit être utilisée pour limiter les propriétaires de contrats intelligents et s'assurer qu'ils n'utiliseront pas leurs propres avantages pour mener des opérations malveillantes ;

Le code de contrat intelligent doit subir une vérification et une inspection de sécurité strictes avant de pouvoir être publié.

Tags:

Meilleur échange Bitcoin
Dialogue avec Shi Xiang, co-fondateur d'Alchemy Pay, pour discuter du paiement chiffré décentralisé

Le 17 août, la conférence de coopération écologique Blockchain 2020 organisée par Alchemy Pay s'est tenue à Shanghai.Cette conférence de coopération écologique blockchain a réuni plus de 30 invités lourds de l'industr.

Golden DeFi Daily | La valeur marchande totale de DeFi est de 1,1992 milliard de dollars américains.

1. La valeur marchande totale de DeFi : 11,992 milliards de dollars américains Golden Morning News | 21 mars Mises à jour importantes du jour au lendemain : 21h00-7h00 Mots-clés : BM, Niveaux de gris, GAFI.

Chengdu Lianan : Analyse de l'incident d'extorsion du YFV

YFV est un projet DeFi basé sur Ethereum Plus tôt dans la journée.

Première version | Analyse des événements de vulnérabilité de sécurité des contrats intelligents Sushiswap

Le 28 août, heure de Pékin, l'équipe de recherche en sécurité de CertiK a découvert qu'il existait de multiples failles de sécurité dans le contrat intelligent du projet sushiswap. Dans le même temps.

Découvrez le rôle d'Hyperledger et d'Interledger dans le futur système de paiement international dans un seul article

De nombreuses sociétés financières et autres à travers le monde explorent ou adoptent activement la technologie blockchain pour les paiements internationaux.

Golden DeFi Daily | La valeur des actifs verrouillés DeFi est de 6,79 milliards de dollars américains et la valeur marchande totale est de 14,593 milliards de dollars américains

1. La valeur marchande totale de DeFi : 14,593 milliards de dollars américains Golden Evening News | Liste des nouvelles importantes de la soirée du 27 avril : 12h00-21h00 Mots-clés : Banque centrale.

Golden Observation | Partenaire Pantera : L'AMPL qui ajuste automatiquement l'offre est un meilleur Bitcoin

L'auteur de cet article est Paul Veradittakit, associé de Pantera Capital.

ads