假如川普可以虛假計票：Mercurity.finance智能合約安全漏洞分析_ISS:比特幣

今年美國大選雖說有了廣泛意義上的塵埃落定，但競選結果并未明確。如今拜登團隊宣布勝選，美國媒體紛紛宣布拜登當選下屆美國總統。而另一方面，川普拒絕接受敗選結果，他持續進行計票，并宣稱要采取法律行動。造成如今這個混亂結果的首要原因在于美國沒有設立獨立的對大選事務具有權力的權威性的選舉委員會，在默認情況下，是新聞機構承擔了這個角色。假如川普獲得過大的權力，控制了大多新聞機構，營造虛假選票，結果尚未可知。這就意味著某種程度上，可以說是極盡中心化的“推特治國”后的又一“媒體選舉”。從選舉，到互聯網，到區塊鏈，2020年，中心化不再是權威的體現，而是“獨斷”、“專權”的代名詞。北京時間11月9日，CertiK安全研究團隊發現DeFi項目Mercurity.finance智能合約代碼部分存在中心化風險。項目擁有者擁有過大權限，可以進行任意數目的鑄幣，并為給定賬戶提供任意數目的獎勵。技術步驟分析如下：ERC20Token.sol代碼地址：https://github.com/MER-DAO/MEE-core/blob/main/contracts/tokens/ERC20Token.sol部署地址：https://etherscan.io/address/0xe1b583dc66e0a24fd9af2dc665f6f5e48978e106#code

Tether顧問：貝萊德的ETF可能會改變比特幣游戲規則:金色財經報道，Tether顧問Gabor Gurbacs表示，監管機構沒有足夠的理由不批準比特幣ETF。SEC提到了對潛在市場操縱、托管問題以及基礎市場整體成熟度的擔憂，現貨比特幣ETF代表了對比特幣等標的資產的直接所有權。當你購買現貨ETF的份額時，該基金實際上獲得了等量的資產，提供了近乎一對一的風險敞口，它可以通過為個人和機構提供一種熟悉且受到廣泛監管的方式來接觸比特幣，從而擴大比特幣的投資者基礎。它可能會增加流動性并改善價格發現。其次，它可能會導致機構采用率的增加，進而有助于提高市場穩定性和減少價格波動，現貨比特幣ETF何時熊市無從知曉，但情況與2018年略有不同。例如，薩爾瓦多在2021年將比特幣定為法定貨幣，一些公司已經在積累比特幣，或將其作為財務或投資管理的一部分。貝萊德的興趣只是這一新轉變的一部分，其申請獲得批準可能會永遠改變比特幣游戲規則。[2023/7/24 15:54:30]

Solana上NFT協議Metaplex將推出代幣MPLX，同時將進行空投:9月18日消息，Solana上NFT協議Metaplex宣布將于9月20日推出治理和實用代幣MPLX，使用Metaplex協議啟動的NFT項目有機會獲得空投，快照已拍攝，此外將于周一開啟關于空投給收藏者的提案投票。MPLX的持有者可以在Metaplex DAO中投票，直接參與協議的未來發展方向。

此前報道，1月18日，Metaplex完成4600萬美元融資。Multicoin Capital和Jump Crypto領投。[2022/9/18 7:04:00]

圖一：ERC20Token智能合約構造函數

對沖基金經理Brian Kelly：以太坊合并的風險比想象的要大:金色財經消息，日前，對沖基金經理和兼CNBC撰稿人Brian Kelly在CNBC的節目“Fast Money”上分享了他對加密市場價格走勢的看法，以及以太坊的Merge升級可能如何影響ETH價格。

Brian Kelly表示，“比特幣與納斯達克的關聯度非常高，約為60%，在過去的30天里，以太坊與納斯達克的關聯度約為70%“，他認為“以太坊在某種程度上可以被視為科技股”。在被問及關于以太坊合并時，他表示，合并過程中會出現很多突發狀況，類似于技術故障之類，他認為以太坊合并的風險比人們想象的要更大。（Cryptoglobe）[2022/9/4 13:08:15]

圖二：onlyIssuer修飾詞

趙長鵬：WazirX拒絕Binance控制他們的系統:8月6日消息，幣安CEO趙長鵬發推稱，我們最近在今年2月要求轉移WazirX系統源代碼、部署、操作。這被WazirX拒絕了，Binance無法控制他們的系統。 WazirX一直不與我們合作。我們可以關閉域名，但無法控制交易系統。[2022/8/6 12:06:37]

圖三:具有鑄幣方法的issue函數如圖一所示，項目擁有者在ERC20Token.sol智能合約中的構造函數可以將自身設置為issuer身份。由于在智能合約部署時，其構造函數會被自動執行，因此項目擁有者會自動成為issuer。通過圖二中顯示的onlyIssuer修飾詞的限制，任意擁有issuer身份的外部調用者將可以執行任意被onlyIssuer修飾詞修飾的函數。因此，擁有issuer身份的項目擁有者可以執行圖三中具有鑄幣方法的issue函數，從而可以為任意賬戶鑄造任意數目的代幣。除此之外，該項目還存在一個允許項目擁有者提供代幣獎勵的后門。該后門存在與AwardContract.sol智能合約中。AwardContract.sol代碼地址：https://github.com/MER-DAO/MEE-core/blob/main/contracts/AwardContract.sol部署地址：https://etherscan.io/address/0x8Ea43ce113456f45defd0E27e809d719b9CA2362#code

圖四：AwardContract智能合約構造函數

圖五：onlyGovernor修飾詞

圖六：addFreeAward智能合約函數當AwardContract.sol被項目擁有者部署到區塊鏈上時，AwardContract合約的構造函數會被自動執行，也就意味著圖四中43行代碼被自動執行后，項目擁有者會自動被賦予governor身份。擁有governor身份的外部調用者可以類似的執行任意被onlyGovernor修飾詞修飾的智能合約函數，例如圖六中所示addFreeAward函數。由于所有外部調用者都可以通過調用圖七中withdraw函數來將屬于自己的獎勵取出，因此當governor身份的外部調用者為某一個賬戶添加了某一數量的獎勵后，A賬戶可以對該函數進行調用，并通過246行的判斷條件檢查后，通過在281行調用safeIssue()函數來取出被添加的獎勵。

圖七：withdraw智能合約函數綜上分析，Mercurity.finance項目中智能合約存在的后門漏洞均來自于項目擁有者權限過大。在該類中心化治理機制中，項目擁有者得到了可以隨時獲利或者摧毀項目經濟系統的權利。CertiK安全研究團隊建議Mercurity.finance更新項目中采用的治理系統，引入社區管理的機制。CertiK在此提醒廣大用戶：1.合約代碼需要經過嚴格的安全驗證和審計才可被允許公布。2.投資者在投資采用中心化治理機制的項目時需衡量風險，謹慎投資

Tags：比特幣ISSSOLTRAC比特幣上市第一天的價格Mission HeliosSOLATrace Network Labs

中幣下載