WITH:首發 | Text.finance智能合約安全漏洞分析_DEV

北京時間11月12日，CertiK安全研究團隊發現DeFi項目text.finance智能合約代碼部分存在安全漏洞。

分析之前，先考考大家的眼力，看看下圖里面的文字說了什么。

如果看不清，不妨點擊圖片后把屏幕亮度調至最高。

有的時候，某些不想讓你看到的因素，正是通過排版或者這樣的方式，被刻意隱藏了起來。

接下來說說該項目中存在的兩處漏洞。大家不妨在閱讀文章的時候注意一下圖中[function函數]的位置。

首發 | 區塊鏈技術及軟件安全實戰基地正式成立:金色財經報道，今日，中軟協區塊鏈分會、人民大學、菏澤市局相關部門聯合共建的區塊鏈技術及軟件安全實戰基地正式成立。同時聘任中軟協區塊鏈分會副秘書長宋愛陸為區塊鏈技術及軟件安全實戰基地特別專家。

區塊鏈技術及軟件安全實戰基地主要涉及領域為：非法數字貨幣交易與洗錢、區塊鏈傳銷與電信詐騙、網絡賭博、四方支付、冒用商標注冊等，聯合社會治理、城市安全、前沿技術領域的行業專家，進行警協合作。

據公開報道，近期菏澤市下屬機關剛破獲一起特大電信網絡詐騙案，打掉多個涉嫌以網貸和投資“比特幣”為名的詐騙團伙，抓獲犯罪嫌疑人83名，扣押凍結涉案資金2700萬元。[2020/7/21]

第一彈：項目擁有者可通過第一處漏洞，將指定數目代幣轉移到任意地址。

首發 | 螞蟻礦機S17真機圖首次曝光 采用雙筒風扇及一體機設計 ?:繼正式宣布在4月9日現貨銷售后，比特大陸即將發布的新品螞蟻礦機S17又有了新動態。據悉，螞蟻礦機S17真機圖今天在網上首次曝光。

從曝光的圖片來看，螞蟻礦機S17延續上一代產品S15的雙筒風扇設計，且采用一體機的機身設計。有業內人士認為，采用雙筒設計可有效縮短風程，礦機出入風口的溫差變小，機器性能將得到很大改善。

此前比特大陸產品負責人在接受媒體采訪時表示，新品S17較上一代產品相比，無論是在能效比還是單位體積的算力等方面，均有較大提升。[2019/4/3]

第二彈：項目擁有者可通過第二處漏洞，將任意投資者的流動性池中的資產強制轉移到項目擁有者的地址中。

公告 | 火幣全球站6月29日16:00全球首發 Project PAI:火幣全球站定于新加坡時間6月29日16:00 Project PAI (PAI) 充值業務。7月2日16:00在創新區開放PAI/BTC, PAI/ETH交易。7月6日16:00開放 PAI提現業務。[2018/6/29]

textMiner.sol

部署地址: 

https://etherscan.io/address/0x9858728de38c914c2ea32484a113b6628d984a82#code

1. 漏洞一

項目擁有者在textMiner.sol智能合約1000行處實現了withUpdates()函數。該函數的的作用是可以將任意數量的為devaddr地址鑄造任意數量的代幣。而通過查看圖2中devaddr和項目擁有者owner的地址值，可以發現兩者相同，因此項目擁有者可以通過該漏洞為devaddr地址鑄造任意數目代幣。

IMEOS首發 EOS Go公布新增兩條復選條件 :據金色財經合作伙伴IMEOS報道：今日，EOS Go在 steemit上公布新增的兩條復選條件為：

1. 保證安全的計劃：候選節點是否在steemit上發布文章介紹該節點的安全方法和計劃，“安全方法”標準是向EOS選民展示安全最佳實踐知識和組織實施計劃的機會；

2. 立場：描述該節點分享通脹獎勵和/或向EOS代幣持有人派發股息的立場（候選節點在steemit發布）。主要闡述以下兩個問題：

該組織是否會出于任何原因向EOS令牌選民提供支付，包括BP選舉和社區建議？

該組織是否有書面的無票付款政策？如果是這樣，請提供一個鏈接。[2018/4/27]

同時，當前的devaddr地址擁有者可以通過圖3的dev()函數將devaddr地址值更換到另外一個地址，因此最終項目擁有者可以更換將devaddr地址值更換的方法，向任意地址中鑄造任意數目代幣。

雖然項目擁有者將圖1中的withUpdates()函數設置為不允許智能合約外部調用，但是卻有意地在圖4中919行實現了允許被外部調用的add()函數，然后通過921行代碼調用withUpdates()函數，從而實現向devaddr地址鑄造1000000000000000000000000000000數量代幣。

圖1：第1000行中的withUpdates()函數

圖2：devaddr地址以及項目擁有者owner地址

圖3：dev()函數

圖4：add()函數

2. 漏洞二

圖5：emergencyWithdraw()函數

項目擁有者可以通過調用圖5中emergencyWithdraw()函數，將某一個特定地址投資者的某一個流動性池中的流動性資產全部取出，并轉移到項目擁有者的地址中。

該emergencyWithdraw()函數是一個基于正確的emergencyWithdraw()函數。因此就算審視合約者不惡意揣測，也很難說項目方不是惡意改寫，并添加了該漏洞。

從下圖6的對比中可以發現，Sushiswap允許投資者通過調用emergencyWithdraw()函數，緊急取出屬于自己的流動性資產，而在text.finance中卻僅允許項目擁有者來調用該函數，同時允許項目擁有者取出屬于任何投資者的流動性資產。

圖6：text.finance和sushiswap項目中emergencyWithdraw()函數實現對比

CertiK安全研究團隊認為當投資者在對DeFi項目進行投資時，不僅需要對智能合約常見的代碼有所了解，更需要謹慎地審視具體代碼的實現邏輯。否則極易掉入類似該項目中的惡意漏洞陷阱當中。

對于非技術背景的投資者，更需要了解項目是否經過嚴謹的技術審計。從Text.finance項目的惡意漏洞中可以看出，盲目投資一個沒有經過嚴格審計的項目，或引發極大風險，并造成難以估量的損失。

Tags：ADDITHWITHDEVDADDYFEGBlacksmith TokenWITH價格DEVT

火幣APP