
Mercurity.finance智能合约安全漏洞分析
今年美国大选虽说有了广泛意义上的尘埃落定,但竞选结果并未明确。
如今拜登团队宣布胜选,美国媒体纷纷宣布拜登当选下届美国总统。而另一方面,川普拒绝接受败选结果,他持续进行计票,并宣称要采取法律行动。
造成如今这个混乱结果的首要原因在于美国没有设立独立的对大选事务具有权力的权威性的选举委员会,在默认情况下,是新闻机构承担了这个角色。假如川普获得过大的权力,控制了大多新闻机构,营造虚假选票,结果尚未可知。
这就意味着某种程度上,可以说是极尽中心化的“推特治国”后的又一“媒体选举”。
从选举,到互联网,到区块链,2020年,中心化不再是权威的体现,而是“独断”、“专权”的代名词。
北京时间11月9日,CertiK安全研究团队发现DeFi项目Mercurity.finance智能合约代码部分存在中心化风险。
项目拥有者拥有过大权限,可以进行任意数目的铸币,并为给定账户提供任意数目的奖励。
技术步骤分析如下:
ERC20Token.sol
代码地址:
https://github.com/MER-DAO/MEE-core/blob/main/contracts/tokens/ERC20Token.sol
部署地址:
https://etherscan.io/address/0xe1b583dc66e0a24fd9af2dc665f6f5e48978e106#code
图一: ERC20Token智能合约构造函数
图二:onlyIssuer修饰词
图三: 具有铸币方法的issue函数
如图一所示,项目拥有者在ERC20Token.sol智能合约中的构造函数可以将自身设置为issuer身份。由于在智能合约部署时,其构造函数会被自动执行,因此项目拥有者会自动成为issuer。
通过图二中显示的onlyIssuer修饰词的限制,任意拥有issuer身份的外部调用者将可以执行任意被onlyIssuer修饰词修饰的函数。
因此,拥有issuer身份的项目拥有者可以执行图三中具有铸币方法的issue函数,从而可以为任意账户铸造任意数目的代币。
除此之外,该项目还存在一个允许项目拥有者提供代币奖励的后门。该后门存在与AwardContract.sol智能合约中。
AwardContract.sol
代码地址:
https://github.com/MER-DAO/MEE-core/blob/main/contracts/AwardContract.sol
部署地址:
https://etherscan.io/address/0x8Ea43ce113456f45defd0E27e809d719b9CA2362#code
图四:AwardContract智能合约构造函数
图五:onlyGovernor修饰词
图六:addFreeAward智能合约函数
当AwardContract.sol被项目拥有者部署到区块链上时,AwardContract合约的构造函数会被自动执行,也就意味着图四中43行代码被自动执行后,项目拥有者会自动被赋予governor身份。
拥有governor身份的外部调用者可以类似的执行任意被onlyGovernor修饰词修饰的智能合约函数,例如图六中所示addFreeAward函数。
由于所有外部调用者都可以通过调用图七中withdraw函数来将属于自己的奖励取出,因此当governor身份的外部调用者为某一个账户(假设为A)添加了某一数量的奖励后,A账户可以对该函数进行调用,并通过246行的判断条件检查后,通过在281行调用safeIssue()函数来取出被添加的奖励。
图7:withdraw智能合约函数
综上分析,Mercurity.finance项目中智能合约存在的后门漏洞均来自于项目拥有者权限过大。在该类中心化治理机制中,项目拥有者得到了可以随时获利或者摧毁项目经济系统的权利。
CertiK安全研究团队建议Mercurity.finance更新项目中采用的治理系统,引入社区管理的机制。
CertiK在此提醒广大用户:
1. 合约代码需要经过严格的安全验证和审计才可被允许公布。
2. 投资者在投资采用中心化治理机制的项目时需衡量风险,谨慎投资。
比推快讯
更多 >>- 以太坊基金会再次内部转移 1000 枚 ETH 至关联地址
- 法国金融科技公司 Tractical(前 BD Multimedia)将筹集 100 万欧元增持更多 BTC
- 机构:日本央行加息时机仍然高度不确定
- Binance Alpha 新 TGE 积分参与门槛为 200 分
- Matrixport Ventures:已完成 300 万美元等值的 XAUm 战略储备
- Bithumb 将 GMX 指定为交易警示股
- Meme 项目 MAOMAO 公布代币模型:5%交易费,其中 2%用于持币分红
- 交易员 AguilaTrades 比特币多单浮盈扩大至 633 万美元
- 高盛:美元或将再次以“风险较高”货币的态势交易
- BitMEX 盘前期货合约已上线 PUMP
- Grok4 智能指数超越 OpenAI 的 o3
- 10x Research:比特币 ETF 自 4 月中旬起净流入 150 亿美元,特朗普施压美联储引发市场看涨情绪
- 慢雾:GMX 被盗系 GLP 价格被操控,攻击者通过重入创建大额空头头寸操纵全局平均价格
- 某巨鲸再次增持 7171 枚 ETH,今日已累计积累 54125 枚 ETH
- 不丹王室政府 10 日内累计向币安转入逾 350 枚 BTC
- Upbit 通知 Zilliqa(ZIL)流通计划变更
- Infinity Ground 宣布获得 Awaken 基金会 1500 万美元战略投资
- 数据:某巨鲸近 12 小时累计从 Kraken 提取 46954 枚 ETH,价值超 1.26 亿美元
- 过去 24 小时 CEX 净流出 1559.71 枚比特币
- Messari:2025 年 Q2 加密行业融资总规模环比下降 20%,降至 50 亿美元
- 澳大利亚 Monochrome 现货比特币 ETF 的 BTC 持仓升至 941 枚
- 马斯克旗下 xAI 正式推出 Grok 4
- Truth Social 将推出实用型代币
- PUMP 盘前价格短时冲高至 0.0097 美元,现报 0.005 美元。
- 数据:某巨鲸向 Hyperliquid 存入 400 万美元并 1 倍杠杆做空 PUMP
- 赵长鹏:我们应该利用 AI 来简化法律
- Bitroot 测试网用户突破 20 万,将与腾讯云推进分布式 AI 算力合作
- HYPER 短时涨超 120%,BABY 短时涨超 20%
- Bitget 第二季度将销毁 3000 万枚 BGB,价值约 1.38 亿美元
- 韩国央行行长李昌镛:有必要引入基于韩元的稳定币,但需谨慎
- RootData:APE 将于一周后解锁价值约 989 万美元的代币
- Project Hunt:SocialFi 交易卡游戏 fantasy.top 为过去 7 天新增 Top 人物关注者最多的项目
- HYPER 24 小时涨超 35%,市值升至 2661 万美元
- 某巨鲸抛售 3 万枚 stETH,兑换为 8542 万枚 USDC 并存入 Aave
- WLFI 代币可转移提案已开放社区投票,目前支持率为 99.93%
- a16z 将主要实体 AH Capital Management 注册地由特拉华州迁至内华达州
- USELESS 24 小时涨约 50%创下历史新高
- 美股老牌加密货币股普遍上涨,部分新加密概念股出现大幅回调
- Bithumb 新增上线 Hyperlane (HYPER)
- 英国加密平台 Ziglu 宣布破产并进入特别管理程序
- vladilena.eth 的 10 倍 SOL 多单仓位规模已达 1265 万美元,浮盈 40.1 万美元
- AguilaTrades 未再上 4 亿仓位后逐步回血,BTC 多单浮盈 687 万美元
- 数据:过去 24 小时全网爆仓 5.13 亿美元,多单爆仓 6352.18 万美元,空单爆仓 4.49 亿美元
- 数据:德林控股港股涨超 65%,此前公司拟代币化最高 5 亿元资产
- Sharplink Gaming 增持 5072 枚 ETH,总持仓超 21 万枚 ETH
- 数据:普量能量涨超 240%,认购 HashKey A 轮股份最高持股达 5%
- YZi Labs 将支持投资机构 10X Capital 成立赴美上市 BNB 财务公司
- 纽约男子因涉嫌操纵 700 万美元加密货币投资计划被判处四年监禁
- Nansen CEO:已在天使轮投资了 58 个项目,8 个大胜,19 个归零
- 巨鲸合约交易员 AguilaTrades 加仓其 20 倍做多 BTC 合约,仓位价值超 3 亿美元
比推专栏
更多 >>观点
比推热门文章
- 法国金融科技公司 Tractical(前 BD Multimedia)将筹集 100 万欧元增持更多 BTC
- 机构:日本央行加息时机仍然高度不确定
- Binance Alpha 新 TGE 积分参与门槛为 200 分
- Matrixport Ventures:已完成 300 万美元等值的 XAUm 战略储备
- Bithumb 将 GMX 指定为交易警示股
- Meme 项目 MAOMAO 公布代币模型:5%交易费,其中 2%用于持币分红
- 交易员 AguilaTrades 比特币多单浮盈扩大至 633 万美元
- 高盛:美元或将再次以“风险较高”货币的态势交易
- BitMEX 盘前期货合约已上线 PUMP
- Grok4 智能指数超越 OpenAI 的 o3