SON:首發 | Uniswap上的代幣項目跑路？NUGS合約漏洞分析_BOSON幣

大家在學生時代是否有過這樣的經歷：

考試的時候把較難的題都做對了，卻因為簡單的題丟了分。

老師經常說，那些拿滿分?的好學生，都是既抓住了難題，同時也沒放過簡單的題目。

北京時間8月11日，CertiK安全研究團隊發現基于以太坊的代幣項目NUGS出現安全問題，其智能合約中存在安全漏洞，致使其代幣系統出現巨額通脹。由于該智能合約的安全漏洞無法被修復，因此最終NUGS項目官方發布公告決定放棄該項目，存入其中的代幣也無法被取出。官方公告如下圖：

LBank藍貝殼于4月9日16:50首發 BOSON:據官方公告，4月9日16:50，LBank藍貝殼首發BOSON(Boson Protocol)，開放USDT交易，4月9日16:00開放充值，4月12日16:00開放提現。上線同一時間開啟充值交易BOSON瓜分10,000 USDT。

LBank藍貝殼于4月9日16:50開啟充值交易BOSON瓜分10,000 USDT。用戶凈充值數量不少于1枚BOSON ，可按凈充值量獲得等值1%的BOSON的USDT空投獎勵；交易賽將根據用戶的BOSON交易量進行排名，前30名可按個人交易量占比瓜分USDT。詳情請點擊官方公告。[2021/4/9 20:02:26]

CertiK安全研究團隊研究NUGS項目部署的智能合約，發現其安全漏洞存在于doLottery和_doLottery這兩個函數中。

動態 | 可信教育數字身份在廣州白云區首發 采用區塊鏈等技術:12月25日，可信教育數字身份(教育卡)廣東省應用試點首發儀式與應用研討在廣州市白云區舉行。

據介紹，可信教育數字身份融合采用國產密碼、區塊鏈等核心技術，創新簽發“云計算、邊緣計算、移動計算”網絡環境下的一體化數字身份，實現一體化密鑰管理，構建“可信教育身份鏈”。（中國新聞網）[2019/12/25]

根據其智能合約的功能分析，NUGS代幣項目是一個類似于彩票抽獎的系統。

公告 | 火幣全球站6月29日16:00全球首發 Project PAI:火幣全球站定于新加坡時間6月29日16:00 Project PAI (PAI) 充值業務。7月2日16:00在創新區開放PAI/BTC, PAI/ETH交易。7月6日16:00開放 PAI提現業務。[2018/6/29]

項目參與者向該智能合約中存入資金，這些資金會匯入當前彩票抽獎輪次的獎池中。然后每當經過一段時間后，智能合約會允許外部調用者調用下圖中的doLottery函數來抽取當前彩票抽獎輪次的贏家，決定這個贏家的條件是這位外部調用者的地址以及當前彩票抽獎獎池中的獎金總量。而這位外部調用者會收到一部分獎金作為“開啟”彩票抽獎獎池的獎勵。

從上圖中可以發現，通過第15行代碼可以獲得當前彩票抽獎獎池中的獎金數額。第20~22行代碼顯示，一部分獎金會獎勵給外部調用doLottery函數的用戶，這位用戶也就是實際上的此次彩票輪次的“開獎嘉賓”。然后在25~28行中，扣除獎勵給外部調用者的獎勵之后的剩余獎金會被發送給本輪彩票的贏家。之后本輪彩票的開獎階段結束。

該智能合約出現的問題在于：當在一次彩票抽獎完成后，彩票池中的獎金額沒有被清零，導致了下一次彩票輪次開時，彩票池中依舊有上一次彩票池中獎金的數額，也就是彩票獎池中的初始獎金額會被錯誤的設置為上一次彩票抽獎結束后獎池中的最終獎金數目，而正確的初始獎金額應該為“零”。

每一次開獎時的獎金額都會被記錄傳遞到下一次抽獎的初始獎池中，這樣就會最終導致彩票池中的獎金越來越多，從而造成代幣通脹并飛快貶值。

由于智能合約的一旦上鏈就無法更新的特性，使得NUGS項目官方無法將漏洞修復，因此只能選擇將該項目遺棄。

該事件中智能合約的的安全漏洞較為簡單易懂，屬于專業智能合約開發者通常不會出現的錯誤。整個項目都建立好了，卻因為一道“簡單題”丟了分。而智能合約的項目一旦“丟分”，整個項目的命運都將被改變。

因此，CertiK安全團隊建議：任何代幣項目使用的智能合約都需要經過嚴謹的安全驗證之后再上鏈。如果否則一旦出現錯誤就極易產生不可挽回的損失。建立一個項目要花費不少的人力物力，甚至要攻克各種“疑難雜癥”。在簡單問題上栽了跟頭，而將整個項目徹底下架也令人唏噓。如果在交卷前，一個專業的導師能夠幫助項目檢查一遍“試卷”，把握好難題的正確同時也確保簡單問題不會出現任何閃失，那么誰不希望有這樣的專業人士來把關呢？

Tags：BOSBOSONSONPAIbbos幣最新消息BOSON幣SONGAlgoPainter

芝麻開門交易所下載