btcchina,btc中国

来源:币安网 | 分类:币安资讯 | 标签:btcchina btc中国 


btcchina,btc中国 币安资讯

小编,在新冠肺炎被诊断出患有10万例美国病,由于硬核不得不坐飞机离开。旅行前一直担心自己会不会被感染,但遇到猛烈气流时被飞机的颠簸给忽悠了。

虽然心里默默安慰自己飞机失事的概率很低,感染新冠肺炎肺炎的概率也没那么高,但他还是记住了四个字:“墨菲’s  Law。"

随着现代科技的发展,锁定在区块链领域的资产越来越大。随着区块链的发展,隐藏在电脑背后的危机变得越来越凶猛。

智能合约中的任何小漏洞都可能给项目或投资者造成不可挽回的损失。

在此警告下,CertiK安全团队使用CertiK  Skynet对2020年12月4日北京时间00:00-24:00新加入Uniswap的令牌智能合约进行监控分析。

在此分析期间,总共生成了29个智能合约令牌项目。

天网对CertiK进行分析后,发现16智能合约!存在漏洞或缺陷

约55%的smart合约项目或多或少存在漏洞或缺陷,其中约10%存在严重漏洞,45%存在项目业主权限过大、权限过于集中等缺陷。

本次分析中分析的智能合约项目名称和合约地址如下:

分析结果如下:

虽然很难通过一天的情况来预测智能合约在所有时间范围内的安全状况,但我们可以一目了然。

以下主要分析三个相对重要的漏洞:

nostrom  . finance(NSTR)

图1: burnFrom()函数

图1中的burnFrom函数受到ownerOnly修饰符的限制,只有项目经理才被允许执行这个函数。该函数内部的逻辑实现允许通过设置帐户、余额和减法值来间接任意修改给定帐户的_totalSupply和_balances值。

PowerPool。金融(CVP)

图2:合约电力公司的补偿功能

powerpoolttl合约的回退功能如图2所示。当外部用户调用智能合约,时,如果在调用中没有调用合约的函数,或者只有令牌被转移到合约,则回退函数将被调用。70行的逻辑表明,调用回退函数时,调用中转移到契约的令牌会直接转移到teamAddress的地址。

omphalos.co(OMPL)

在这个项目中,您可以通过执行transferFrom()函数来传输令牌。根据图3中transferFrom()函数的定义,第211行需要执行getFee函数来确定每次令牌转移要扣除的费用。从图3中getFee()函数的定义可以看出,确定成本的逻辑取决于241行调用的Management.getFee()函数的定义。当前Management.getFee()函数的逻辑定义根据存储在管理器变量中的不同地址值而改变。存储在当前管理器变量中的地址值显示为如图6。

但是,存储在管理器变量中的地址值所指向的智能合约在以太网上没有经过身份验证,因此智能合约的源代码无法得知,管理. getFee()函数的定义也无法得知。

由于Management.getFee()函数背后的逻辑未知,项目所有者可能会通过操作Management.getFee()函数的返回值来调整每次令牌转移的成本,并进行恶意操作。

图3: TransferFrom()函数

图4:标准令牌合约中的getFee()函数

图5:管理智能合约界面和getFee功能界面

图6:当前管理变量存储的地址值


上一篇:btc123
下一篇:btctrade