DDR:CertiK：SushiSwap仿盤YUNO與KIMCHI智能合約漏洞或存安全隱患_DDR價格

北京時間8月31日和9月1日，CertiK安全研究團隊發現Sushiswap仿盤的兩個項目YUNoFinance(YUNO)與KIMCHI.finance(KIMCHI)，其智能合約均存在漏洞。如果利用該漏洞，智能合約擁有者可以無限制地增發項目對應的代幣數目，導致項目金融進度通脹并最終崩潰。

無限增發漏洞

CER報告：45個加密錢包品牌中只有6個經過了滲透測試:金色財經報道，網絡安全認證平臺 CER一份報告發現，45 個加密貨幣錢包品牌中，只有 6 個（即 13.3%）經過了滲透測試以發現安全漏洞。其中，只有一半對其產品的最新版本進行了測試。報告稱，完成最新滲透測試的三個品牌是 MetaMask、ZenGo 和 Trust Wallet。Rabby 和 Bifrost 對舊版本的軟件進行了滲透測試，Ledger Live 對未知版本（在報告中列為“N/A”）進行了滲透測試，列出的所有其他品牌均未提供任何做過這些測試的證據。

該報告還對每個錢包的安全性進行了總體排名，將 MetaMask、ZenGo、Rabby、Trust Wallet 和 Coinbase Wallet 列為總體最安全的錢包。[2023/8/10 16:16:45]

以Yuno項目中智能合約為例，CertiK安全研究團隊對于該無限增發漏洞進行了詳細分析，技術細節如下：在Yuno項目中的MasterChef.sol智能合約第1354行中，dev方法可以允許當前擁有devaddr身份的智能合約調用者，將devaddr身份轉移給另外一個地址。

CertiK獲SUI頒發50萬美元漏洞賞金:金色財經報道，全球區塊鏈和智能合約安全團隊CertiK因發現一種新型安全威脅而被SUI授予50萬美元賞金。該威脅被命名為“HamsterWheel（倉鼠輪）”，并有可能破壞SUI整個Layer 1網絡。

在主網啟動前，CertiK向SUI報告了這一關鍵漏洞，并得到了SUI的確認與反饋。認識到情況的嚴重性后，SUI迅速實施了安全解決方案以緩釋這種攻擊的潛在威脅。目前SUI已推出修復措施用以確保其網絡安全。

SUI為了感謝CertiK，SUI支付了50萬美元用來獎勵這一關鍵性的發現。關于HamsterWheel攻擊的技術細節和對Layer 1更深層次的影響將會隨后披露給公眾。[2023/6/19 21:47:41]

Kava已通過CertiK的全面審計，確保平臺代幣發行模塊代碼的安全:據官方公告，Kava已通過CertiK的全面審計，確保Kava DeFi平臺代幣發行模塊代碼的安全。火幣作為行業領先者已將其生態資產HBTC接入Kava DeFi發行模塊，后續將在Kava上鑄造數百萬美元的資產。

Kava是一個跨鏈DeFi平臺，提供主流數字貨幣的抵押借貸。HARD Protocol是基于Kava區塊鏈發布的跨鏈加密貨幣市場，支持BTC、XRP、BNB、BUSD、KAVA和USDX等資產借貸和挖礦賺取收益。[2021/2/19 17:29:09]

截圖出自：https://etherscan.io/下圖中可以看到在智能合約1282行的mint方法是由修飾器onlyOwner進行限制，修飾器onlyOwner決定了只能是智能合約擁有者來執行這個合約。

Balancer論壇提議每周分配3000BAL用于“治理挖礦”項目:Coopahtroopa在Balancer論壇當中發起一項提案，建議發起“治理挖礦”項目。他建議在每周通過流動性挖礦分配的145000枚BAL當中提取3000枚BAL用于“治理挖礦”項目。該項目需要通過社區領導的治理委員會實施開展。[2020/11/25 22:03:07]

以上三截圖均出自：https://etherscan.io/擁有devaddr身份的調用者，當其身份恰好同時為owner身份的時候，可以通過調用MasterChef.sol智能合約1282行的mint方法，來無限制的增發代幣。1282行的mint方法會繼續調用1130行的mint方法，并繼續由1130行mint方法調用1044行的_mint方法，并最終完成代幣增發的操作。Kimichi項目智能合約中存在的無限增發漏洞與以上漏洞基本相同，因此在這里不進行重復敘述。如果owner和devaddr的地址如果相同，那么在外部沒有對智能合約擁有者限制的情況下，智能合約擁有者擁有權利增發任意數量的代幣，這將會將投資者置于風險之中。那么Yuno和Kimichi這兩個項目中的devaddr和owner是否為同一人呢？是否有其他外部制約機制可以限制這兩個項目的智能合約擁有者呢？下圖為Yuno項目MasterChef.sol智能合約中擁有devaddr和owner身份的地址。

截圖出自：https://etherscan.io/下圖為Kimichi項目中KimchiChef.sol智能合約中擁有devaddr和owner身份的地址。

截圖出自：https://etherscan.io/從上兩圖中可以看到，Yuno項目中擁有devaddr和owner身份的地址為同一個，因此其智能合約擁有者有權利進行無限制的代幣增發。而Kimichi項目中擁有devaddr和owner身份不同，但由于devaddr的身份可以進行轉移，因此也存在一定的風險。目前措施

為了確保無限增發漏洞不會被觸發，對于Yuno和Kimichi兩個項目的智能合約擁有者必須由外部進行限制。當前已經實施的限制條件與Sushiswap項目一致，即對任何由智能合約擁有者進行的智能合約操作，均有48小時的延遲。任何來自智能合約擁有者的操作都會被所有投資者觀察到，并有48小時進行應對操作。CertiK安全團隊建議

當前DeFi以及相關Farming項目異常火爆，由于區塊鏈項目對于項目代碼公開性有要求，因此上線新項目門檻極低。如果盲目借鑒其他項目，任意漏洞都可能被引入到項目中。因此在項目上線之前，應該對項目進行嚴格的安全審計。從投資者角度，當前Farming項目動輒百分之幾千的回報率，極易促使投資者在沒有對項目本身有足夠了解的情況下進行盲目投資。例如SushiSwap，Yuno以及Kimchi三個項目均沒有經過嚴謹的安全驗證就快速上線。投資者可能會被巨大的利益回報迷惑，將寶貴資金投入到有極大風險的智能合約中。

Tags：CERDEVVADDDRcertikDeviantCoinVADSDDR價格

波場