CertiK:Based智能合约浮上漏DDoS防御洞 重新部署其一号池事件分析-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > CertiK:Based智能合约浮上漏DDoS防御洞 重新部署其一号池事件分析

CertiK:Based智能合约浮上漏DDoS防御洞 重新部署其一号池事件分析

小墨安全管家 2020-08-19 05:08 CC防护 89 ℃
DDoS防御

由于在Based智能合约中initialize函数被错误的设置为能够被外部调用,所以造成在初始化智能合约过程中,一号池的智能合约被外部攻击者用错误的值初始化。

在安全咨询题未造成不可弥补的损失前就被发觉,或是一开始便做好万全预备,才是身为区块链从业者的安全第一要义。

智能合约技术细节

“亡羊补牢,为时未晚”,这句话在日子中的大部分时候均适用。可是,在面临网络安全时,牢破可能就会造成无法挽回的损失。

Based团队部署一号池智能合约,部署地址为0x77caF750cC58C148D47fD52DdDe43575AA179d1f。

(4) 综上因素,Based智能合约无法被官方正确初始化,所以任何质押行为都无法举行。

事件通过

Based官方决定放弃该智能合约,重新部署一号池智能合约。

CertiK:Based智能合约浮现漏DDoS谨防洞 重新部署其一号池事件分析

(3) 上图两个initialize函数基本上由initializer的修饰符修饰。依照其中代码,假如调用了其中一具initialize函数,另外一具initialize函数就无法被调用。initializer修饰符代码如下图所示,这造成了Based官方失去了初始化函数的机遇:

(1) Based团队在部署智能合约后,没有及时的调用下图的initialize函数来初始化智能合约的设置:

CertiK:Based智能合约浮现漏DDoS谨防洞 重新部署其一号池事件分析

(2)  外部调用者利用Based团队在部署和初始化智能合约之间的时刻差,乘机调用了下图中671行被错误设置调用范围的initialize函数,抢先初始化了一号池的智能合约:

邀请专业的安全团队对其智能合约举行审计,保证智能合约的安全性和可靠性。

怎么幸免事件发生

部署智能合约时应预备好初始化智能合约所需要的命令足本等工具,及时初始化智能合约,幸免攻击者利用部署操作和初始化操作之间的时刻差抢先初始化或者控制智能合约。

CertiK:Based智能合约浮现漏DDoS谨防洞 重新部署其一号池事件分析

质押失败的交易记录:

Based官方经过调用智能合约中的renounceOwnership函数来声明智能合约所有者,但未举行智能合约初始化。

北京时刻8月14日下午,CertiK安全技术团队发觉DeFi匿名耕种项目Based官方宣布有攻击者经过调用Based智能合约中的某一具函数,将一号池(Pool 1)冻结,并且宣布将重新部署其一号池。

了解智能合约的运行原理和技术细节,不要盲目的采纳其他的智能合约代码。

CertiK:Based智能合约浮现漏DDoS谨防洞 重新部署其一号池事件分析

CertiK:Based智能合约浮现漏DDoS谨防洞 重新部署其一号池事件分析

官方公布推特称,有黑客试图将“Pool1”永远冻结,但尝试失败。而“Pool1”将然后按打算举行。

CertiK:Based智能合约浮现漏DDoS谨防洞 重新部署其一号池事件分析

CertiK经过分析该智能合约,以为这次冻结Based项目一号池事件,是一次由于存在智能合约漏洞导致的事故。

该次事件本质上是由智能合约漏洞导致的,但假如Based团队提前注意到那个漏洞,提早初始化智能合约,能够彻底规避这次惊险,幸免一号池被冻结。所以,CertiK安全技术团队建议:

错误的初始化造成Based官方无法再次初始化一号池的智能合约,所以造成一号池被冻结,任何质押行为都无法完成。


DDoS防御

当前位置:主页 > CC防护 > CertiK:Based智能合约浮上漏DDoS防御洞 重新部署其一号池事件分析

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119