CertiK：DeFi項目Walletreum內部操作攻擊事件分析_BAL:ceres幣價格

馬克思曾在資本論中引用一句名言：“如果有10%的利潤,它就保證到處被使用；有20%的利潤,它就活躍起來；有50%的利潤,它就鋌而走險；為了100%的利潤,它就敢踐踏一切人間法律；有300%的利潤,它就敢犯任何罪行,甚至絞首的危險。”對于區塊鏈來說，去中心化是一切的本質，更是區塊鏈世界和生態的標桿。無論是什么形式的去中心化，它的本質實際上指的都是權力從頂層中心化機構到基層個體的下沉。這個下沉趨勢隨著世界的發展不斷的惠及每一個個體。區塊鏈所言的“去中心化”同樣是隨著經濟和科技發展，迎合社會發展本質上的一類。鑄幣權便是其中之一。這里的鑄幣權指的是將其下放至專業及安全的團隊或個體手中，通過健康的社區治理，達到實現區塊鏈領域愿景的目的。然而如同早年間的鑄幣行為在傳統金融中屢禁不絕，區塊鏈領域內的惡意鑄幣行為也是無休無止。一個項目其違背去中心化的本質，通過擁有者的極大權限進行惡意鑄幣，不僅僅損害了項目的良勢發展，更是損害了每一位投資者與項目支持者的切身利益。

Balancer將為LSD協議StaFi的rETH-ETH池創建Gauge，BAL釋放上限為10%:2月8日消息，流動性質押衍生品協議 StaFi 在 Balancer 社區提議為以太坊上的 rETH-ETH 池創建一個 Balancer Gauge，BAL 釋放上限為 10%。StaFi 將使其 Balancer rETH-ETH 池成為以太坊主網上 rETH 的主要流動性來源。通過增強池的流動性，Balancer 將會從增加的交易費用中獲益。目前該提案已獲得 Balancer 社區投票通過。

StaFi 于 2020 年第三季度推出，重點是為以太坊和其他權益證明鏈（例如 Polygon、Solana 和 Polkadot）上的抵押資產帶來流動性。與其他 LSD 協議類似，StaFi 發行流動性收據 Toekn (rETH)，代表用戶通過無許可的驗證器集在信標鏈上質押的以太坊份額。自推出以來，該協議已在 11 種 Token 中積累了價值超過 3600 萬美元的質押資產，并擁有 3439 個活躍驗證者。[2023/2/8 11:54:54]

CertiK：@porsches_eth為虛假賬號，Porsche團隊暫無官方鑄幣計劃:金色財經報道，據CertiK監測，@porsches_eth為冒充Porsche項目官方推特（@eth_porsche）的虛假賬戶。Porsche團隊已澄清目前沒有進一步的官方鑄幣計劃。[2023/1/28 11:34:09]

北京時間11月16日，CertiK安全研究團隊發現DeFi項目Walletreum被項目團隊通過內部操作，惡意鑄造5億個WALT代幣。截止11月16日早5時，惡意鑄造的代幣量已約合近190萬人民幣。CertiK安全研究團隊通過分析其智能合約代碼，發現其智能合約代碼中心化風險極高，存在安全隱患，項目擁有者擁有權限向任意地址鑄造任意數目的代幣。完整技術分析如下：攻擊詳情分析

HOGT-DEX生態已通過Certik代碼審計:據官方消息，HOGT-DEX生態已通過美國Certik代碼審計。

CertiK區塊鏈網絡安全公司，由耶魯大學與哥倫比亞大學計算機學教授共同創立。旨在使用最嚴密和最徹底的網絡與軟件安全技術來識別并消除安全漏洞。截至目前，CertiK已進行了超過700次審計，審計了超過39.6萬行代碼，保護了超過300億美元的資產免受損失。

HOGT是基于火幣生態鏈的綜合性DeFi生態服務平臺，融合聚合收益、DEX、借貸等多板塊業務，致力于建設DeFi全生態服務系統。[2021/6/9 23:23:24]

項目擁有者地址：0xa5e552e3d643cc89f3b1ceccfd6f42c5c1aee775

YFII Pool2 收到首批Balancer（BAL）獎勵，社區將提案分配方式:9月3日，聚合器項目DFI.Money（YFII）收到首批Balancer（BAL）獎勵，共計BAL 679.83個，價值21814美元。該獎勵來源于YFII/DAI礦池，后續每周都將收到。社區目前正在商討獎勵分派方式。此前消息，在DFI.Money（YFII）Pool2提供流動性進行挖礦，可以同時獲得YFII和BAL獎勵。[2020/9/3]

圖一：內部操作攻擊交易信息圖一是Walletreum項目中WALTToken智能合約被內部操作，鑄造額外5億個WALT代幣的交易信息。該交易哈希值為0xc0f3b0576f18a714d78b822754489d4201c9e36fb0ce4b2f53a93217564710e5。CertiK天網系統(Skynet)檢測到區塊1126401出現異常交易信息后，立刻向CertiK安全研究團隊發出警示。CertiK安全研究團隊在對該項目智能合約進行快速分析后，認為該項目為當前一典型的由于智能合約高中心化而導致的攻擊。

圖二：WALTToken智能合約mint()函數圖二為遭受內部操作攻擊智能合約中被惡意調用的函數mint()。從666行的代碼實現中可以看出，任何擁有minter權限、可以通過onlyMinter修飾符限制的外部調用者均可以調用該函數。該函數的作用是通過667行代碼向任意賬戶鑄造任意數目的代幣。通過圖三中619行onlyMinter修飾符的邏輯實現，以及615行構造函數中給與智能合約部署者minter權限的邏輯實現，智能合約部署者擁有了可以執行圖二中mint函數的權限。

圖三：onlyMinter修飾符以及給與項目管理者minter權限的構造函數

圖四：項目擁有者擁有minter權限查詢項目擁有者是否擁有minter權限的結果如圖四所示。至此，項目擁有者擁有執行mint函數的權利，最終惡意鑄造了5億個WALT代幣，致使項目投資者遭受損失。安全建議

CertiK安全團隊通過研究認為，目前大多數DeFi項目中均存在類似于Walletreum項目的風險。該類mint函數以及minter權限的實現表明了當前DeFi項目中項目擁有者權限過大，中心化風險較高。這會導致內部操作等情況的發生完全依賴于項目擁有者個人或者團隊的“個人素質”與選擇。CertiK團隊此前分析過同樣存在中心化風險的Mercurity.finance項目，而類似此次Walletreum項目被內部操作攻擊的情況以后想必也依舊會發生。在此，CertiK團隊發出建議：如要防范此類內部操作，應當注重提高社區治理的程度，并在項目實現上盡可能降低中心化權限，對任意重要操作均需要通過社區投票或者運用Timelock延時限制機制。

Tags：CERcertikBALERTceres幣價格certik幣價World Footballsupertxtoken

BNB