區塊鏈:首發 | Text.finance智能合約安全漏洞分析_ADD

北京時間11月12日，CertiK安全研究團隊發現DeFi項目text.finance智能合約代碼部分存在安全漏洞。

分析之前，先考考大家的眼力，看看下圖里面的文字說了什么。

如果看不清，不妨點擊圖片后把屏幕亮度調至最高。

有的時候，某些不想讓你看到的因素，正是通過排版或者這樣的方式，被刻意隱藏了起來。

接下來說說該項目中存在的兩處漏洞。大家不妨在閱讀文章的時候注意一下圖中的位置。

第一彈：項目擁有者可通過第一處漏洞，將指定數目代幣轉移到任意地址。

第二彈：項目擁有者可通過第二處漏洞，將任意投資者的流動性池中的資產強制轉移到項目擁有者的地址中。

LBank藍貝殼于5月3日20:00首發 CSPR(Casper)，開放USDT交易:據官方公告，5月3日20:00，LBank藍貝殼上線 CSPR(Casper)，開放USDT交易，同時并開放充值，資料顯示，Casper網絡是基于CasperCBC規范構建的第一個實時權益證明區塊鏈。Casper旨在加速當今企業和開發人員對區塊鏈技術的采用，同時確保隨著網絡參與者需求的發展，其在未來仍能保持高性能。[2021/5/3 21:19:51]

漏洞分析

textMiner.sol

部署地址:?

https://etherscan.io/address/0x9858728de38c914c2ea32484a113b6628d984a82#code

首發 | 百度財報體現區塊鏈 BaaS平臺成為新戰略重點:金色財經報道，2020年2月28日，百度（股票代碼BAIDU）公布財報，其中將區塊鏈BaaS平臺相關的進展進行了單獨敘述，依托于百度智能云的區塊鏈平臺有望成為技術創新方向的新增長引擎。在AI服務上，百度與上海浦東發展銀行達成合作，共建區塊鏈聯盟，在百度區塊鏈服務（BaaS）平臺上實現跨行信息驗證。[2020/2/28]

1.漏洞一

項目擁有者在textMiner.sol智能合約1000行處實現了withUpdates()函數。該函數的的作用是可以將任意數量的為devaddr地址鑄造任意數量的代幣。而通過查看圖2中devaddr和項目擁有者owner的地址值，可以發現兩者相同，因此項目擁有者可以通過該漏洞為devaddr地址鑄造任意數目代幣。

首發 | 《一起來捉妖》中玩家達到22級將會接觸到專屬貓的玩法 ?:今日騰訊上線首款區塊鏈游戲《一起來捉妖》，經金色財經查證，游戲中玩家達到22級將會接觸到專屬貓的玩法，而非此前官方對外宣稱的15級。除了誘貓鈴鐺召喚出的0代貓以及部分通過運營活動獎勵的專屬貓以外，游戲中所有的貓默認都是未上鏈狀態。未上鏈的貓不能出售，也無法進入市場與其他玩家配對；但是你可以使用這些貓與你的QQ/微信好友進行配對，產出新的小貓。使用道具“天書筆”可以將你的貓記錄到區塊鏈。當貓被記錄到區塊鏈以后，這些貓就可以進入市場，通過配對賺取點券，或者出售賺取點券。專屬貓是否上鏈，并不影響它的增益效果。但只有上鏈后，它才能面對全服務器所有的玩家進行繁殖、交易。

?

《一起來捉妖》中的專屬貓玩法，基于騰訊區塊鏈技術，游戲中的虛擬數字資產得到有效保護。此外，基于騰訊區塊鏈技術，貓也可以自由繁殖，并且運用區塊鏈技術存儲、永不消失。[2019/4/11]

同時，當前的devaddr地址擁有者可以通過圖3的dev()函數將devaddr地址值更換到另外一個地址，因此最終項目擁有者可以更換將devaddr地址值更換的方法，向任意地址中鑄造任意數目代幣。

IMEOS首發 BM表示EOS合約具有整數溢出保護:據金色財經合作媒體IMEOS報道：近日ETH出現多個ERC20智能合約的處理溢出錯誤，BM在推特上發表評論：新的ETH契約Bug可能會破壞整個Token的供應，讓持有者留下無價值Token.這就算為什么代碼不能成為法律，隨即表示EOS erc合約不容易受到這種攻擊。而EOS官方群也有人表示擔憂EOS是否具有整數溢出保護？BM回應：有很多C ++模板類可以封裝類型并檢查溢出。[2018/4/25]

雖然項目擁有者將圖1中的withUpdates()函數設置為不允許智能合約外部調用，但是卻有意地在圖4中919行實現了允許被外部調用的add()函數，然后通過921行代碼調用withUpdates()函數，從而實現向devaddr地址鑄造1000000000000000000000000000000數量代幣。

圖1：第1000行中的withUpdates()函數

圖2：devaddr地址以及項目擁有者owner地址

圖3：dev()函數

圖4：add()函數

2.漏洞二

圖5：emergencyWithdraw()函數

項目擁有者可以通過調用圖5中emergencyWithdraw()函數，將某一個特定地址投資者的某一個流動性池中的流動性資產全部取出，并轉移到項目擁有者的地址中。

該emergencyWithdraw()函數是一個基于正確的emergencyWithdraw()函數。因此就算審視合約者不惡意揣測，也很難說項目方不是惡意改寫，并添加了該漏洞。

從下圖6的對比中可以發現，Sushiswap允許投資者通過調用emergencyWithdraw()函數，緊急取出屬于自己的流動性資產，而在text.finance中卻僅允許項目擁有者來調用該函數，同時允許項目擁有者取出屬于任何投資者的流動性資產。

圖6：text.finance和sushiswap項目中emergencyWithdraw()函數實現對比

安全建議

CertiK安全研究團隊認為當投資者在對DeFi項目進行投資時，不僅需要對智能合約常見的代碼有所了解，更需要謹慎地審視具體代碼的實現邏輯。否則極易掉入類似該項目中的惡意漏洞陷阱當中。

對于非技術背景的投資者，更需要了解項目是否經過嚴謹的技術審計。從Text.finance項目的惡意漏洞中可以看出，盲目投資一個沒有經過嚴格審計的項目，或引發極大風險，并造成難以估量的損失。

CertiK是采用形式化驗證工具來證明智能合約可靠性的業內頂尖公司。公司內部審計專家將利用包括形式化驗證在內的多種軟件測試方法，結合一流的白帽黑客團隊提供專業滲透測試，從而確保項目從前端到智能合約整體的安全性。如你的項目需要保障，請發送郵件至或直接后臺留言進行免費咨詢及報價。于此同時，CertiK的新產品預言機及快速掃描，也將為鏈上項目進行實時打分并且出具快速掃描分數。

如果你需要查找某項目的信息及安全分數，請登錄CertiKFoundation官網的CertiKShield頁面進行瀏覽：https://shield.certik.foundation/

Tags：區塊鏈ADDWITHDEV區塊鏈的未來發展前景視頻ADDC價格Friends With Benefits Prodevt幣未來價值

ETH