Uniswap上的代币项目跑路?NUGS合约漏洞分析

长币网 | Filecoin 云算力产品兑换流程

尊敬的LongBit用户: LongBit长币网为期两期的Filecoin云算力产品认购已圆满结束,此次认购联合熊猫矿机推出“熊猫IPFS基金头矿二号”云算力产品,平台以低于市场价50%的价格让利用户,所有云算力均已售罄,总计认购TFIL1 200份,TFIL…

编者按:上线Uniswap的小型代币项目NUGS疑似“跑路诈骗”,项目方将这一举动归咎于“智能合约漏洞”。CertiK安全研究团队就这一合约漏洞进行的研究。

Uniswap上的代币项目跑路?NUGS合约漏洞分析

大家在学生时代是否有过这样的经历:

考试的时候把较难的题都做对了,却因为简单的题丢了分。

老师经常说,那些拿满分?的好学生,都是既抓住了难题,同时也没放过简单的题目。

北京时间8月11日,CertiK安全研究团队发现基于以太坊的代币项目NUGS出现安全问题,其智能合约中存在安全漏洞,致使其代币系统出现巨额通胀。由于该智能合约的安全漏洞无法被修复,因此最终NUGS项目官方发布公告决定放弃该项目,存入其中的代币也无法被取出。官方公告如下图:

Uniswap上的代币项目跑路?NUGS合约漏洞分析

CertiK安全研究团队研究NUGS项目部署的智能合约,发现其安全漏洞存在于doLottery和_doLottery这两个函数中。

根据其智能合约的功能分析,NUGS代币项目是一个类似于彩票抽奖的系统。

项目参与者向该智能合约中存入资金,这些资金会汇入当前彩票抽奖轮次的奖池中。然后每当经过一段时间后,智能合约会允许外部调用者调用下图中的doLottery函数来抽取当前彩票抽奖轮次的赢家,决定这个赢家的条件是这位外部调用者的地址以及当前彩票抽奖奖池中的奖金总量。而这位外部调用者会收到一部分奖金作为“开启”彩票抽奖奖池的奖励。

Uniswap上的代币项目跑路?NUGS合约漏洞分析

从上图中可以发现,通过第15行代码可以获得当前彩票抽奖奖池中的奖金数额。第20~22行代码显示,一部分奖金会奖励给外部调用doLottery函数的用户,这位用户也就是实际上的此次彩票轮次的“开奖嘉宾”。然后在25~28行中,扣除奖励给外部调用者的奖励之后的剩余奖金会被发送给本轮彩票的赢家。之后本轮彩票的开奖阶段结束。

该智能合约出现的问题在于:当在一次彩票抽奖完成后,彩票池中的奖金额没有被清零,导致了下一次彩票轮次开时,彩票池中依旧有上一次彩票池中奖金的数额, 也就是彩票奖池中的初始奖金额会被错误的设置为上一次彩票抽奖结束后奖池中的最终奖金数目,而正确的初始奖金额应该为“零”。

每一次开奖时的奖金额都会被记录传递到下一次抽奖的初始奖池中,这样就会最终导致彩票池中的奖金越来越多,从而造成代币通胀并飞快贬值。

Uniswap上的代币项目跑路?NUGS合约漏洞分析

由于智能合约的一旦上链就无法更新的特性,使得NUGS项目官方无法将漏洞修复,因此只能选择将该项目遗弃。

该事件中智能合约的的安全漏洞较为简单易懂,属于专业智能合约开发者通常不会出现的错误。整个项目都建立好了,却因为一道“简单题”丢了分。而智能合约的项目一旦“丢分”,整个项目的命运都将被改变。

因此,CertiK安全团队建议:任何代币项目使用的智能合约都需要经过严谨的安全验证之后再上链。如果否则一旦出现错误就极易产生不可挽回的损失。建立一个项目要花费不少的人力物力,甚至要攻克各种“疑难杂症”。在简单问题上栽了跟头,而将整个项目彻底下架也令人唏嘘。如果在交卷前,一个专业的导师能够帮助项目检查一遍“试卷”,把握好难题的正确同时也确保简单问题不会出现任何闪失,那么谁不希望有这样的专业人士来把关呢?

在比特币日报读懂区块链和数字货币,加入Telegram获得第一手区块链、加密货币新闻报道。

Provisn的首席设计官+产品设计工作

提供“将加密货币从加密货币中脱颖而出”,“使加密货币变得容易”是一种基于订阅模型的多功能一体式平台即服务,将简化的最佳工具和分析推向了大众。 这是一个高度个性化,值得信赖的高品质项目,重点是原创,独特的内容,因此请在回复之前先进行检查。 我们的目标是为大众带来…

Click to rate this post!
[Total: 0 Average: 0]

人已赞赏
名家说每日优选

太壹科技CEO:DeFi是一串由代码定义的金融世界

2020-8-13 13:38:49

名家说每日优选

DeFi疯狂!以太坊堵堵堵!一年来矿工收益暴涨265.8%!

2020-8-13 13:40:20

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
有新消息 消息中心
搜索