
Mercurity.finance智能合约安全漏洞分析
今年美国大选虽说有了广泛意义上的尘埃落定,但竞选结果并未明确。
如今拜登团队宣布胜选,美国媒体纷纷宣布拜登当选下届美国总统。而另一方面,川普拒绝接受败选结果,他持续进行计票,并宣称要采取法律行动。
造成如今这个混乱结果的首要原因在于美国没有设立独立的对大选事务具有权力的权威性的选举委员会,在默认情况下,是新闻机构承担了这个角色。假如川普获得过大的权力,控制了大多新闻机构,营造虚假选票,结果尚未可知。
这就意味着某种程度上,可以说是极尽中心化的“推特治国”后的又一“媒体选举”。
从选举,到互联网,到区块链,2020年,中心化不再是权威的体现,而是“独断”、“专权”的代名词。
北京时间11月9日,CertiK安全研究团队发现DeFi项目Mercurity.finance智能合约代码部分存在中心化风险。
项目拥有者拥有过大权限,可以进行任意数目的铸币,并为给定账户提供任意数目的奖励。
技术步骤分析如下:
ERC20Token.sol
代码地址:
https://github.com/MER-DAO/MEE-core/blob/main/contracts/tokens/ERC20Token.sol
部署地址:
https://etherscan.io/address/0xe1b583dc66e0a24fd9af2dc665f6f5e48978e106#code
图一: ERC20Token智能合约构造函数
图二:onlyIssuer修饰词
图三: 具有铸币方法的issue函数
如图一所示,项目拥有者在ERC20Token.sol智能合约中的构造函数可以将自身设置为issuer身份。由于在智能合约部署时,其构造函数会被自动执行,因此项目拥有者会自动成为issuer。
通过图二中显示的onlyIssuer修饰词的限制,任意拥有issuer身份的外部调用者将可以执行任意被onlyIssuer修饰词修饰的函数。
因此,拥有issuer身份的项目拥有者可以执行图三中具有铸币方法的issue函数,从而可以为任意账户铸造任意数目的代币。
除此之外,该项目还存在一个允许项目拥有者提供代币奖励的后门。该后门存在与AwardContract.sol智能合约中。
AwardContract.sol
代码地址:
https://github.com/MER-DAO/MEE-core/blob/main/contracts/AwardContract.sol
部署地址:
https://etherscan.io/address/0x8Ea43ce113456f45defd0E27e809d719b9CA2362#code
图四:AwardContract智能合约构造函数
图五:onlyGovernor修饰词
图六:addFreeAward智能合约函数
当AwardContract.sol被项目拥有者部署到区块链上时,AwardContract合约的构造函数会被自动执行,也就意味着图四中43行代码被自动执行后,项目拥有者会自动被赋予governor身份。
拥有governor身份的外部调用者可以类似的执行任意被onlyGovernor修饰词修饰的智能合约函数,例如图六中所示addFreeAward函数。
由于所有外部调用者都可以通过调用图七中withdraw函数来将属于自己的奖励取出,因此当governor身份的外部调用者为某一个账户(假设为A)添加了某一数量的奖励后,A账户可以对该函数进行调用,并通过246行的判断条件检查后,通过在281行调用safeIssue()函数来取出被添加的奖励。
图7:withdraw智能合约函数
综上分析,Mercurity.finance项目中智能合约存在的后门漏洞均来自于项目拥有者权限过大。在该类中心化治理机制中,项目拥有者得到了可以随时获利或者摧毁项目经济系统的权利。
CertiK安全研究团队建议Mercurity.finance更新项目中采用的治理系统,引入社区管理的机制。
CertiK在此提醒广大用户:
1. 合约代码需要经过严格的安全验证和审计才可被允许公布。
2. 投资者在投资采用中心化治理机制的项目时需衡量风险,谨慎投资。
比推快讯
更多 >>- 美股三大股指期货低开,纳指期货跌 0.07%
- 数据:过去 24 小时全网爆仓 1.99 亿美元,多单爆仓 1.26 亿美元,空单爆仓 7,233.67 万美元
- 数据:过去 24h Binance 净流入 2.57 亿 USDT
- Web3 教育平台 Giggle Academy 宣布接受加密货币捐款
- Arthur Hayes 抛售 9.66 万枚 HYPE,价值 510 万美元
- OKX Star:关于 On-chain Perps,X Layer 会给出自己的答案
- 分析师:过去 96 小时内巨鲸出售 1.6 亿枚 ADA
- CZ 发文戏称或许我们还没进入真正的牛市
- 数据,全网 BTC 合约未平仓量达 835.23 亿美元
- Aster 项目方多签钱包向 Aster 转入 8000 万枚 APX,价值 1.32 亿美元
- 数据:USDC Treasury 在 Solana 链上铸造 2.5 亿枚 USDC
- Binance 合约上 ASTER 交易量超越比特币,跃居排行榜第二
- 数据:PARTI、NIL、MBG 等代币将于下周迎来大额解锁,其中 PARTI 解锁价值约 3400 万美元
- Michael Saylor 再次发布比特币 Tracker 信息,Strategy 或将披露增持数据
- 数据:BNB Chain 今年三季度已产生超 3.5 亿美元费用收入
- Jefferies:加密市场仍处于“互联网 1996 年阶段”,机构投资者不应只关注 BTC
- 加密恐慌指数小幅回升至 49,市场维持中性态势
- 观点:美元稳定币的全面实施和推进将巩固美元全球渗透力、缓解美债风险
- Ronin Treasury 将于 9 月 29 日启动 RON 回购,规模约占流通量 1.3%
- 新加坡民防部队计划推出区块链系统 TruCerts
- Michael Saylor:未来二十年比特币或将以年均近 29%的速度升值
- 英国警方逮捕涉嫌勒索超 1.15 亿美元的黑客组织 Scattered Spider 成员
- Trend Research 累计转入交易所价值逾 3600 万美元 NEIROETH
- Shibarium 安全事件更新:已限制特定桥接操作,对攻击者短期 BONE 代币质押进行限制
- Avantis ($AVNT) 价格 24 小时飙升逾 100%
- SafePal 成为业内首家原生集成 Aster 合约交易的钱包品牌
- 某地址 9 个月前提取 APX,现置换成 ASTER 浮盈超 480 万美元
- 数据:过去 7 天超 4 万枚 BTC 流出 CEX 平台
- 某鲸鱼持有两年 APX 币,收益达 31 倍
- Hyperliquid 上线 AVNT 合约交易
- CAT Terminal 获得中东加密机构 X3 Labs 战略投资
- 加密货币总市值自 4 月以来已增加 1.6 万亿美元
- Binance Alpha 将于今日 16 时发放空投,第一阶段门槛 220 积分
- 过去 24H DEX 合约交易量排名前三分别为 Lighter、Hyperliquid 和 Aster
- Tether CEO:丰田、比亚迪、雅马哈在玻利维亚接受 USDT 支付
- BF 团队花费 18.5 万美元买入 81.7 万枚 ORDER
- WLFI 顾问 Ogle 再次 3 倍杠杆做多 ASTER,此前做多赚取 74.6 万美元
- HTX DeepThink:美联储 9 月来降息带动山寨币轮动,但政策路径仍存分歧
- 某新建地址近两日从 OKX 提取 1000 枚比特币,价值 1.1557 亿美元
- 吉林高院披露涉虚拟货币黄金套现洗白赃款案件,被告人以掩饰、隐瞒犯罪所得罪判刑
- pump.fun 过去 24 小时协议收入超越 Hyperliquid
- 英 FCA 加速加密审批:申请处理时间缩短至 5 个月,近期通过率达 45%
- 数据:当前加密恐慌贪婪指数为 50,处于中性状态
- 萨尔瓦多近 7 日共增持 8 枚 BTC,总持仓达 6,326.18 枚
- 山寨币季节指数报 79,连续四日处于山寨季区域
- 过去 1 小时价值 8016 万美元 ASTER 被提取至 10 个新钱包
- 持仓 ETH 四年地址疑似清仓离场,3 小时前向 Kraken 转入 1757 枚 ETH
- 某巨鲸以均价 53.96 美元增持 52,020 枚 HYPE
- RootData:SIGN 将于一周后解锁价值约 804 万美元的代币
- pump.fun 已累计回购价值超 1.09 亿美元 PUMP 代币
比推专栏
更多 >>观点
比推热门文章
- 美股三大股指期货低开,纳指期货跌 0.07%
- 数据:过去 24 小时全网爆仓 1.99 亿美元,多单爆仓 1.26 亿美元,空单爆仓 7,233.67 万美元
- 【比推周末重点新闻回顾】美国投行 Jefferies:加密市场处于「互联网1996年阶段」,机构投资者不应只关注BTC;Michael Saylor:未来二十年比特币或将以年均近 29%的速度升值;OKX CEO Star:因监管顾虑未上线类似Hyperliquid产品,希望该行业获得清晰监管框架
- 数据:过去 24h Binance 净流入 2.57 亿 USDT
- Web3 教育平台 Giggle Academy 宣布接受加密货币捐款
- Arthur Hayes 抛售 9.66 万枚 HYPE,价值 510 万美元
- OKX Star:关于 On-chain Perps,X Layer 会给出自己的答案
- 分析师:过去 96 小时内巨鲸出售 1.6 亿枚 ADA
- CZ 发文戏称或许我们还没进入真正的牛市
- 数据,全网 BTC 合约未平仓量达 835.23 亿美元