ACT:首發 | Mercurity.finance智能合約安全漏洞分析_ISS

今年美國大選雖說有了廣泛意義上的塵埃落定，但競選結果并未明確。

如今拜登團隊宣布勝選，美國媒體紛紛宣布拜登當選下屆美國總統。而另一方面，川普拒絕接受敗選結果，他持續進行計票，并宣稱要采取法律行動。

造成如今這個混亂結果的首要原因在于美國沒有設立獨立的對大選事務具有權力的權威性的選舉委員會，在默認情況下，是新聞機構承擔了這個角色。假如川普獲得過大的權力，控制了大多新聞機構，營造虛假選票，結果尚未可知。

這就意味著某種程度上，可以說是極盡中心化的“推特治國”后的又一“媒體選舉”。

從選舉，到互聯網，到區塊鏈，2020年，中心化不再是權威的體現，而是“獨斷”、“專權”的代名詞。

北京時間11月9日，CertiK安全研究團隊發現DeFi項目Mercurity.finance智能合約代碼部分存在中心化風險。

百度Apollo首發 “Apollo 001”系列紀念數字藏品:金色財經報道，據百度Apollo智能駕駛官方公眾號，百度Apollo全網首發首款 “Apollo 001”系列紀念數字藏品，以百度汽車機器人為主體形象，每款對應一個百度Apollo自動駕駛重要里程碑事件。據悉，該數字藏品將于2022年7月8日 09:55發布汽車機器人家族全家福空投款。[2022/7/7 1:58:19]

項目擁有者擁有過大權限，可以進行任意數目的鑄幣，并為給定賬戶提供任意數目的獎勵。

技術步驟分析如下：

ERC20Token.sol

代碼地址：

https://github.com/MER-DAO/MEE-core/blob/main/contracts/tokens/ERC20Token.sol

LBANK藍貝殼于3月22日18:00首發 DORA，開放USDT交易:據官方公告，3月22日18:00，LBANK藍貝殼首發DORA(Dora Factory)，開放USDT交易，現已開放充值。

資料顯示，Dora Factory 是基于波卡的 DAO 即服務基礎設施，基于 Substrate 的開放、可編程的鏈上治理協議平臺，為新一代去中心化組織和開發者提供二次方投票、曲線拍賣、Bounty 激勵、跨鏈資產管理等可插拔的治理功能。同時，開發者可以向這個 DAO 即服務平臺提交新的治理模塊，并獲得持續的激勵。[2021/3/22 19:07:06]

部署地址：

https://etherscan.io/address/0xe1b583dc66e0a24fd9af2dc665f6f5e48978e106#code

首發 | 螞蟻礦機S17性能曝光 采用全新散熱技術及全局優化定制方案:金色財經訊，日前，比特大陸即將發布的螞蟻礦機S17性能曝光。據螞蟻礦機S17產品經理朋友圈稱，新品將采用新一代散熱技術及全局優化定制方案。據了解，該散熱技術可能是指芯片的封裝技術，也有可能是機器的散熱結構設計。至于S17產品“全局優化定制”方案未有細節透露。有聲音評價，這或許是為決戰豐水期做出的準備。[2019/3/22]

圖一: ERC20Token智能合約構造函數

首發 | 百度推動246家博物館線上藏品上鏈:金色財經訊，近日，百度超級鏈聯合百度百科，基于區塊鏈技術創建 “文博藝術鏈”，推動百科博物館計劃中的246家博物館線上藏品上鏈。基于“文博藝術鏈”，百度將與博物館共同推動線上藏品版權的確權與維護，同時探索線上藏品版權數字化交易方式，為合作的博物館提供更全面的服務和更多的權益。據介紹，此項目將分階段進行，一期將完成線上藏品的入鏈確權，為每一件藏品生產專屬的版權存證證書。讓每一名用戶可以在百度百科博物館計劃的PC端和WAP端的藏品頁查看證書。后續，百度還將推動AI與區塊鏈技術在文博領域的結合應用，用來保障上鏈數據與藏品相匹配，為后續進行藏品圖像版權數字化交易奠定基礎。[2019/1/30]

圖二：onlyIssuer修飾詞

圖三: 具有鑄幣方法的issue函數

如圖一所示，項目擁有者在ERC20Token.sol智能合約中的構造函數可以將自身設置為issuer身份。由于在智能合約部署時，其構造函數會被自動執行，因此項目擁有者會自動成為issuer。

通過圖二中顯示的onlyIssuer修飾詞的限制，任意擁有issuer身份的外部調用者將可以執行任意被onlyIssuer修飾詞修飾的函數。

因此，擁有issuer身份的項目擁有者可以執行圖三中具有鑄幣方法的issue函數，從而可以為任意賬戶鑄造任意數目的代幣。

除此之外，該項目還存在一個允許項目擁有者提供代幣獎勵的后門。該后門存在與AwardContract.sol智能合約中。

https://github.com/MER-DAO/MEE-core/blob/main/contracts/AwardContract.sol

https://etherscan.io/address/0x8Ea43ce113456f45defd0E27e809d719b9CA2362#code

圖四：AwardContract智能合約構造函數

圖五：onlyGovernor修飾詞

圖六：addFreeAward智能合約函數

當AwardContract.sol被項目擁有者部署到區塊鏈上時，AwardContract合約的構造函數會被自動執行，也就意味著圖四中43行代碼被自動執行后，項目擁有者會自動被賦予governor身份。

擁有governor身份的外部調用者可以類似的執行任意被onlyGovernor修飾詞修飾的智能合約函數，例如圖六中所示addFreeAward函數。

由于所有外部調用者都可以通過調用圖七中withdraw函數來將屬于自己的獎勵取出，因此當governor身份的外部調用者為某一個賬戶（假設為A）添加了某一數量的獎勵后，A賬戶可以對該函數進行調用，并通過246行的判斷條件檢查后，通過在281行調用safeIssue()函數來取出被添加的獎勵。

圖7：withdraw智能合約函數

綜上分析，Mercurity.finance項目中智能合約存在的后門漏洞均來自于項目擁有者權限過大。在該類中心化治理機制中，項目擁有者得到了可以隨時獲利或者摧毀項目經濟系統的權利。

CertiK安全研究團隊建議Mercurity.finance更新項目中采用的治理系統，引入社區管理的機制。

CertiK在此提醒廣大用戶：

1. 合約代碼需要經過嚴格的安全驗證和審計才可被允許公布。

2. 投資者在投資采用中心化治理機制的項目時需衡量風險，謹慎投資。

Tags：ISSACTTRAONTMISSRecycle Impact World AssociationSTRAX幣MoonTools

Gate交易所