TEC:獨家 | Fairyproof Tech：“白帽拯救行動” 挽回10.9萬枚ETH_區塊鏈

本文由Fairyproof Tech原創，授權金色財經獨家發布，轉載請注明出處。

熟悉DeFi生態的用戶都聽過Sushi，它是DeFi生態中知名的去中心化交易所，和Uniswap在圈內都是頂流的交易所項目。但和Uniswap專注交易的縱向發展路徑不同，Sushi除了交易所，也注重在其它領域布局。

拍賣就是Sushi除交易所之外布局的領域。而MISO就是Sushi開發的代幣發售平臺。這個平臺今年2月上線，迄今為止運營了6個多月，整體運行處于比較平穩的狀況。

但就在北京時間8月18日凌晨，多名海外的白帽黑客發現MISO平臺合約中存在安全漏洞，并聯手從眾籌資金池中拯救回10.9萬枚ETH（約合 3.5 億美元），使Sushi避免了一場潛在的災難。

獨家 | ETH 24h鏈上交易量環比上升4.29%:金色財經消息，歐科云鏈OKLink數據顯示，ETH鏈上活躍度下降。ETH 24h鏈上活躍地址數逾48.46萬，環比下降5.09% ；鏈上交易量近337萬ETH，環比上升4.29% ；鏈上交易筆數逾123.9萬筆，環比下降3.71% 。

截至下午2時，ETH全網算力約為189.29TH/s，較前日上升0.64TH/s，全網算力呈上升趨勢。建議Gas費用為180.34Gwei，環比上升66.53% ，未確認交易數近14.32萬筆。[2020/8/12]

以金額看，恐怕此次聯手行動是DeFi發展史上“最大的白帽拯救行動”。此次白帽拯救行動導致BitDAO在MISO平臺進行的荷蘭拍中的ETH資金池提前結束。

獨家 | Bakkt期貨合約數據一覽:金色財經報道，Bakkt Volume Bot數據顯示，上周（2020年第6周），Bakkt比特幣月度期貨合約周交易額為7300萬美元，環比下降3%；最大未平倉合約量達到1582萬美元，環比上漲36%。[2020/2/10]

盡管事件得以妥善解決，沒有釀成大禍，但這次事件仍然給我們留下了很多值得深思的問題和教訓。

Fairyproof Tech對此次漏洞的細節分析如下：

這次出現安全漏洞的是MISO的荷蘭式拍賣合約。其拍賣合約地址為：

0x4c4564a1FE775D97297F9e3Dc2e762e0Ed5Dda0e

獨家 | 幣圈驚現“老鼠會” RatScam斂財比F3D更簡單粗暴:繼區塊鏈項目評級機構RatingToken對龐氏游戲Fomo 3D（以下簡稱F3D）進行跟蹤報道之后，目前市面上又出現了一系列以“Rat（老鼠）”命名的山寨合約。

與其他山寨合約一樣，Rats系列也隱藏著不少安全隱患。以RatScam為例，RatingToken智能合約機器檢測得分僅為2分，共存在16個可疑風險漏洞。而且從游戲主體部分的規則來看，RatScam幾乎是F3D的“閹割版”：游戲只有1輪，而不像F3D理論上會一直進行下去；RatScam中團隊分成高達10%，而F3D僅為2%。

另據RatingToken團隊深入調研發現，RatScam還在Facebook上進行了廣告投放，可見團隊資金實力雄厚，是一次有備而來的圈錢行動。目前官網顯示RatScam獎金池已有567.5348 ETH，RatingToken在此提醒各位注意防范風險，謹慎投資。[2018/7/27]

在合約中，首要存在漏洞的是delegatecall函數調用。

金色獨家 CSDN副總裁孟巖：未來更多國家會重新評估加密數字貨幣和ICO:昨日泰國頒布《數字資產法》，其證券監管機構預計將在本月晚些時候批準5個ICO，就此事金色財經獨家訪問了柏鏈道捷CEO、CSDN副總裁孟巖，孟巖表示：最近從印度央行也傳出聲音，說在反思之前對待ICO簡單否定的態度，現在泰國傳來這樣的消息，我相信在未來一段時間越來越多的國家會重新評估加密數字貨幣和ICO，這是大勢所趨。

但我們應該看到，之所以會有這種轉變，主要還不是因為這些國家的金融當局打心里有多么崇尚創新、追求進步，恐怕更多是在美聯儲加息、歐洲退出QE的國際貨幣金融大背景下，圍繞如何化解困局的而進行的一些探討和探索。

不過歷史往往就是這樣，大方向在那里，你主動也好，被動也好，不情不愿也好，遲早是會走過去的。

我對于未來加密數字貨幣，以及基于智能合約和數字資產的新的融資及資金管理方式充滿信心。我們這一代人將在區塊鏈上創建新的商業模式，新的協作模式，新的市場主體，哪個國家先順應這個趨勢，哪個國家就能享受這個時代的先發紅利。

至于未來ICO監管怎么走，我不關心具體過程，這是一個全球市場，大趨勢不可阻擋，區塊鏈領域新的融資模式，不僅限于ICO，逐漸走向開放，走向合規，走向誠信，這是必然發生的。[2018/6/15]

delegatecall函數所執行的交易是外部傳入的。本合約代碼對delegatecall的調用使得每個交易在執行時，使用msg.value不會發生變化，因此調用者可以利用此漏洞支付一筆拍賣費用而提交多筆相同金額的拍賣訂單，這相當于免費參與多次拍賣。

這部分代碼在BoringBatchable.sol文件中，具體代碼如下所示：

除此以外，合約的退款邏輯放大了漏洞的攻擊力。

當拍賣超過上限即auctionSuccessful()條件成立時，合約會執行退款。這個邏輯結合上面的漏洞就產生了這樣的情景：

攻擊者免費參與拍賣，并設置拍賣金額超過上限，從而觸發合約的退款行為，取走拍賣中其他用戶的資金。

退款邏輯由DutchAuction.sol合約中的withdrawTokens()函數實現，其具體代碼如下所示：

這個安全漏洞最值得注意的地方是，它很早就已經被圈內認識了，并不是新發現的漏洞，因此其表現形式和特點對于成熟的審計公司而言是很容易被發現的。這樣的漏洞完全可以通過審計發現，而不用等到合約上線冒如此大的風險。畢竟并不是每一個項目都能這么幸運，得到白帽黑客的幫助。但每一個項目在上線前進行詳細的合約審計卻是每個項目團隊都應該做也必須做的。

因此我們再次提醒所有的項目方，做好項目審計是保障項目發展的第一要素。Fairyproof Tech永遠以嚴謹的態度和專業的技能為項目方提供踏實、周全的服務。

關于Fairyproof Tech：

Fairyproof Tech科技有限公司是一家專注區塊鏈生態安全的公司。Fairyproof Tech科技主要通過“代碼風險檢測+邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月，團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。

團隊成員參與發起并提交了以太坊領域的多項標準草案，包括ERC-1646、ERC-2569、ERC-2794，其中ERC-2569 被以太坊團隊正式收入。

團隊參與了多項以太坊項目的發起及構建，包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目， 并參與了多個項目的安全審計工作，在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。

作者：

Fairyproof TechCEO 譚粵飛

美國弗吉尼亞理工大學(Virginia Tech, Blacksburg, VA, USA) 工業工程（Industrial Engineering） 碩士(Master)。曾任美國硅谷半導體公司 AIBT Inc（San Jose, CA, USA） 軟件工程師，負責底層控制系統的開發、設備制程的程序實現、算法的設計，并負責與臺積電的全面技術對接和交流。自2011至今，從事嵌入式，互聯網及區塊鏈技術的研究，深圳大學創業學院《區塊鏈概論》課程教師，中山大學區塊鏈與智能中心客座研究員，廣東省金融創新研究會常務理事 。個人擁有4項區塊鏈相關專利、3本出版著作。

Tags：RATTEC區塊鏈ECHRATSDAOQTECH價格區塊鏈工程專業學什么課程好dogechain幣大跌

SHIB