首發 | Mercurity.finance智能合約安全漏洞分析_EOS

今年美國大選雖說有了廣泛意義上的塵埃落定，但競選結果并未明確。

如今拜登團隊宣布勝選，美國媒體紛紛宣布拜登當選下屆美國總統。而另一方面，川普拒絕接受敗選結果，他持續進行計票，并宣稱要采取法律行動。

造成如今這個混亂結果的首要原因在于美國沒有設立獨立的對大選事務具有權力的權威性的選舉委員會，在默認情況下，是新聞機構承擔了這個角色。假如川普獲得過大的權力，控制了大多新聞機構，營造虛假選票，結果尚未可知。

這就意味著某種程度上，可以說是極盡中心化的“推特治國”后的又一“媒體選舉”。

從選舉，到互聯網，到區塊鏈，2020年，中心化不再是權威的體現，而是“獨斷”、“專權”的代名詞。

LBank藍貝殼于4月10日01:00首發 BOSON，開放USDT交易:據官方公告，4月10日01:00，LBank藍貝殼首發BOSON(Boson Protocol)，開放USDT交易，4月9日23:00開放充值，4月12日16:00開放提現。上線同一時間開啟充值交易BOSON瓜分10,000 USDT。

LBank藍貝殼于4月10日01:00開啟充值交易BOSON瓜分10,000 USDT。用戶凈充值數量不少于1枚BOSON ，可按凈充值量獲得等值1%的BOSON的USDT獎勵；交易賽將根據用戶的BOSON交易量進行排名，前30名可按個人交易量占比瓜分USDT。詳情請點擊官方公告。[2021/4/7 19:54:33]

北京時間11月9日，CertiK安全研究團隊發現DeFi項目Mercurity.finance智能合約代碼部分存在中心化風險。

首發 | imKey正式支持Filecoin，成為首批Filecoin硬件錢包:12月1日，隨著imToken2.7.2版本上線，imKey同步支持Filecoin，成為業內首批正式支持FIL的硬件錢包。Filecoin作為imKey多鏈支持的優先級項目之一，成為繼BTC、ETH、EOS和COSMOS四條公鏈后的第五條公鏈。

據悉，imKey團隊已在Q4全面啟動多鏈支持計劃，計劃實現imToken已經支持的所有公鏈項目，本次imKey升級更新，無需更換硬件，不涉及固件升級，通過應用（Applet）自動升級，即可實現imKey對Filecoin的支持及FIL的代幣管理。[2020/12/2 22:52:32]

項目擁有者擁有過大權限，可以進行任意數目的鑄幣，并為給定賬戶提供任意數目的獎勵。

金色首發 EOS超級節點競選投票率達6.49%:金色財經數據播報，截止北京時間6月13日15:50，EOS投票率達6.49%。EOS引力區和EOS佳能作為兩個來自中國的超級節點競選團隊暫居第五和第六名。其中EOS引力區的得票總數為903萬，占比2.96%；EOS佳能的得票總數為877萬，占比2.87%。此前異軍突起的EOSflytomars暫居第17位，得票總數為630萬，占比2.07%。目前躋身前30名的超級節點競選團隊中，有八個團隊來自中國。[2018/6/13]

技術步驟分析如下：

ERC20Token.sol

代碼地址：

https://github.com/MER-DAO/MEE-core/blob/main/contracts/tokens/ERC20Token.sol

IMEOS首發 BM表示EOS合約具有整數溢出保護:據金色財經合作媒體IMEOS報道：近日ETH出現多個ERC20智能合約的處理溢出錯誤，BM在推特上發表評論：新的ETH契約Bug可能會破壞整個Token的供應，讓持有者留下無價值Token.這就算為什么代碼不能成為法律，隨即表示EOS erc合約不容易受到這種攻擊。而EOS官方群也有人表示擔憂EOS是否具有整數溢出保護？BM回應：有很多C ++模板類可以封裝類型并檢查溢出。[2018/4/25]

部署地址：

https://etherscan.io/address/0xe1b583dc66e0a24fd9af2dc665f6f5e48978e106#code

圖一:ERC20Token智能合約構造函數

圖二：onlyIssuer修飾詞

圖三:具有鑄幣方法的issue函數

如圖一所示，項目擁有者在ERC20Token.sol智能合約中的構造函數可以將自身設置為issuer身份。由于在智能合約部署時，其構造函數會被自動執行，因此項目擁有者會自動成為issuer。

通過圖二中顯示的onlyIssuer修飾詞的限制，任意擁有issuer身份的外部調用者將可以執行任意被onlyIssuer修飾詞修飾的函數。

因此，擁有issuer身份的項目擁有者可以執行圖三中具有鑄幣方法的issue函數，從而可以為任意賬戶鑄造任意數目的代幣。

除此之外，該項目還存在一個允許項目擁有者提供代幣獎勵的后門。該后門存在與AwardContract.sol智能合約中。

AwardContract.sol

代碼地址：

https://github.com/MER-DAO/MEE-core/blob/main/contracts/AwardContract.sol

部署地址：

https://etherscan.io/address/0x8Ea43ce113456f45defd0E27e809d719b9CA2362#code

圖四：AwardContract智能合約構造函數

圖五：onlyGovernor修飾詞

圖六：addFreeAward智能合約函數

當AwardContract.sol被項目擁有者部署到區塊鏈上時，AwardContract合約的構造函數會被自動執行，也就意味著圖四中43行代碼被自動執行后，項目擁有者會自動被賦予governor身份。

擁有governor身份的外部調用者可以類似的執行任意被onlyGovernor修飾詞修飾的智能合約函數，例如圖六中所示addFreeAward函數。

由于所有外部調用者都可以通過調用圖七中withdraw函數來將屬于自己的獎勵取出，因此當governor身份的外部調用者為某一個賬戶添加了某一數量的獎勵后，A賬戶可以對該函數進行調用，并通過246行的判斷條件檢查后，通過在281行調用safeIssue()函數來取出被添加的獎勵。

圖7：withdraw智能合約函數

綜上分析，Mercurity.finance項目中智能合約存在的后門漏洞均來自于項目擁有者權限過大。在該類中心化治理機制中，項目擁有者得到了可以隨時獲利或者摧毀項目經濟系統的權利。

CertiK安全研究團隊建議Mercurity.finance更新項目中采用的治理系統，引入社區管理的機制。

CertiK在此提醒廣大用戶：

1.合約代碼需要經過嚴格的安全驗證和審計才可被允許公布。

2.投資者在投資采用中心化治理機制的項目時需衡量風險，謹慎投資。

歡迎搜索微信關注CertiK官方微信公眾號，點擊公眾號底部對話框，留言免費獲取咨詢及報價！??

Tags：EOSISSTOKENTOKEEOSKINGDOMjubileswiss是什么意思Reflexer Ungovernance Tokenitokenwallet停止維護doge停止維護

酷幣交易所