ADD:首發 | SushiSwap仿盤 YUNO與KIMCHI智能合約漏洞或存安全隱患_DDR

北京時間8月31日和9月1日，CertiK安全研究團隊發現Sushiswap仿盤的兩個項目YUNoFinance(YUNO)與KIMCHI.finance(KIMCHI)，其智能合約均存在漏洞。如果利用該漏洞，智能合約擁有者可以無限制地增發項目對應的代幣數目，導致項目金融進度通脹并最終崩潰。

無限增發漏洞

以Yuno項目中智能合約為例，CertiK安全研究團隊對于該無限增發漏洞進行了詳細分析，技術細節如下：?

在Yuno項目中的MasterChef.sol智能合約第1354行中，dev方法可以允許當前擁有devaddr身份的智能合約調用者，將devaddr身份轉移給另外一個地址。

首發 | 百度財報體現區塊鏈 BaaS平臺成為新戰略重點:金色財經報道，2020年2月28日，百度（股票代碼BAIDU）公布財報，其中將區塊鏈BaaS平臺相關的進展進行了單獨敘述，依托于百度智能云的區塊鏈平臺有望成為技術創新方向的新增長引擎。在AI服務上，百度與上海浦東發展銀行達成合作，共建區塊鏈聯盟，在百度區塊鏈服務（BaaS）平臺上實現跨行信息驗證。[2020/2/28]

截圖出自：https://etherscan.io/address/0x450f143f1a8650fff968d890814bd5884bdc8f1d#code

首發 | 嘉楠耘智宣布與Northern Data在AI、區塊鏈等高性能計算領域達成戰略合作:據官方消息，2020年2月17日，嘉楠耘智宣布與區塊鏈解決方案及數據中心服務提供商Northern Data AG達成戰略合作。本次合作的內容涵蓋AI、區塊鏈及數據中心運維等高性能計算領域。

嘉楠耘智擁有豐富的高性能計算專用ASIC芯片研發經驗。Northern Data AG則專注于區塊鏈和數據中心等高性能計算基礎設施的建設。通過本次戰略合作，雙方將在AI、區塊鏈等新興領域進一步釋放增長潛能。[2020/2/19]

下圖中可以看到在智能合約1282行的mint方法是由修飾器onlyOwner進行限制，修飾器onlyOwner決定了只能是智能合約擁有者來執行這個合約。

首發 | 劉堯：百度區塊鏈推出天鏈平臺賦能鏈上業務:12月20日，由CSDN主辦的“2019中國區塊鏈開發者大會”12月20日在北京舉行。百度智能云區塊鏈產品負責人劉堯以《企業區塊鏈賦能產業創新落地》為主題進行了演講，他指出：2020年將是區塊鏈企業落地的元年，為了支持中國區塊鏈的產業落地，百度將區塊鏈進行平臺化戰略升級，依托百度智能云推出天鏈平臺，就是要賦能360行的鏈上業務創新落地。[2019/12/20]

以上三截圖均出自：https://etherscan.io/address/0x450f143f1a8650fff968d890814bd5884bdc8f1d#code

金色首發 EOS超級節點競選投票率達6.49%:金色財經數據播報，截止北京時間6月13日15:50，EOS投票率達6.49%。EOS引力區和EOS佳能作為兩個來自中國的超級節點競選團隊暫居第五和第六名。其中EOS引力區的得票總數為903萬，占比2.96%；EOS佳能的得票總數為877萬，占比2.87%。此前異軍突起的EOSflytomars暫居第17位，得票總數為630萬，占比2.07%。目前躋身前30名的超級節點競選團隊中，有八個團隊來自中國。[2018/6/13]

擁有devaddr身份的調用者，當其身份恰好同時為owner身份的時候，可以通過調用MasterChef.sol智能合約1282行的mint方法，來無限制的增發代幣。1282行的mint方法會繼續調用1130行的mint方法，并繼續由1130行mint方法調用1044行的_mint方法，并最終完成代幣增發的操作。

?Kimichi項目智能合約中存在的無限增發漏洞與以上漏洞基本相同，因此在這里不進行重復敘述。

如果owner和devaddr的地址如果相同，那么在外部沒有對智能合約擁有者限制的情況下，智能合約擁有者擁有權利增發任意數量的代幣，這將會將投資者置于風險之中。那么Yuno和Kimichi這兩個項目中的devaddr和owner是否為同一人呢？是否有其他外部制約機制可以限制這兩個項目的智能合約擁有者呢？

下圖為Yuno項目MasterChef.sol智能合約中擁有devaddr和owner身份的地址。

截圖出自：https://etherscan.io/address/0x9dd5b5c71842a4fd51533532e5470298bfa398fd#readContract

下圖為Kimichi項目中KimchiChef.sol智能合約中擁有devaddr和owner身份的地址。

截圖出自：https://etherscan.io/address/0x9dd5b5c71842a4fd51533532e5470298bfa398fd#readContract

從上兩圖中可以看到，Yuno項目中擁有devaddr和owner身份的地址為同一個，因此其智能合約擁有者有權利進行無限制的代幣增發。而Kimichi項目中擁有devaddr和owner身份不同，但由于devaddr的身份可以進行轉移，因此也存在一定的風險。

目前措施

為了確保無限增發漏洞不會被觸發，對于Yuno和Kimichi兩個項目的智能合約擁有者必須由外部進行限制。當前已經實施的限制條件與Sushiswap項目一致，即對任何由智能合約擁有者進行的智能合約操作，均有48小時的延遲。任何來自智能合約擁有者的操作都會被所有投資者觀察到，并有48小時進行應對操作。

CertiK安全團隊建議

當前DeFi以及相關Farming項目異常火爆，由于區塊鏈項目對于項目代碼公開性有要求，因此上線新項目門檻極低。如果盲目借鑒其他項目，任意漏洞都可能被引入到項目中。因此在項目上線之前，應該對項目進行嚴格的安全審計。

從投資者角度，當前Farming項目動輒百分之幾千的回報率，極易促使投資者在沒有對項目本身有足夠了解的情況下進行盲目投資。例如SushiSwap，Yuno以及Kimchi三個項目均沒有經過嚴謹的安全驗證就快速上線。投資者可能會被巨大的利益回報迷惑，將寶貴資金投入到有極大風險的智能合約中。

Tags：區塊鏈ADDDDRDEV數字人民幣與區塊鏈AddMeFastDDRT價格dev幣圈什么意思

PEPE幣