Text.finance智能合约安全漏洞技术分析

CertiK view 9775 2020-11-13 14:49
share to
Scan QR code with WeChat

北京时间11月12日,CertiK安全研究团队发现defi项目text.finance智能合约代码部分存在安全漏洞。

有的时候,某些不想让你看到的因素,正是通过排版或者这样的方式,被刻意隐藏了起来。

接下来说说该项目中存在的两处漏洞。大家不妨在阅读文章的时候注意一下图中的位置。

第一弹:项目拥有者可通过第一处漏洞,将

第二弹:项目拥有者可通过第二处漏洞,将任意投资者的流动性池中的资产中。

漏洞分析

textMiner.sol

部署地址: 

https://etherscan.io/address/0x9858728de38c914c2ea32484a113b6628d984a82#code

1. 漏洞一

项目拥有者在textMiner.sol智能合约1000行处实现了withUpdates()函数。该函数的的作用是可以将任意数量的为devaddr地址铸造任意数量的代币。而通过查看图2中devaddr和项目拥有者owner的地址值,可以发现两者相同,因此项目拥有者可以通过该漏洞。

同时,当前的devaddr地址拥有者可以通过图3的dev()函数将devaddr地址值更换到另外一个地址,因此最终项目拥有者可以更换将devaddr地址值更换的方法,

虽然项目拥有者将图1中的withUpdates()函数设置为不允许智能合约外部调用,但是却有意地在图4中919行实现了允许被外部调用的add()函数,然后通过921行代码调用withUpdates()函数,从而实现向devaddr地址铸造1000000000000000000000000000000数量代币。

Text.finance智能合约安全漏洞技术分析

图1:第1000行中的withUpdates()函数

Text.finance智能合约安全漏洞技术分析

图2:devaddr地址以及项目拥有者owner地址

Text.finance智能合约安全漏洞技术分析

图3:dev()函数

Text.finance智能合约安全漏洞技术分析

图4:add()函数

2. 漏洞二

Text.finance智能合约安全漏洞技术分析

图5:emergencyWithdraw()函数

项目拥有者可以通过调用图5中emergencyWithdraw()函数,将某一个特定地址投资者的某一个流动性池中的流动性资产全部取出,并转移到项目拥有者的地址中。

该emergencyWithdraw()函数是一个基于正确的emergencyWithdraw()函数。因此就算审视合约者不恶意揣测,也很难说项目方不是恶意改写,并添加了该漏洞。

从下图6的对比中可以发现,通过调用emergencyWithdraw()函数,

Text.finance智能合约安全漏洞技术分析

图6:text.finance和sushiswap项目中emergencyWithdraw()函数实现对比

安全建议

CertiK安全研究团队认为当投资者在对DeFi项目进行投资时,不仅需要对智能合约常见的代码有所了解,更需要谨慎地审视具体代码的实现逻辑。否则极易掉入类似该项目中的恶意漏洞陷阱当中。

对于非技术背景的投资者,更需要了解项目是否经过严谨的技术审计。从Text.finance项目的恶意漏洞中可以看出,盲目投资一个没有经过严格审计的项目,或引发极大风险,并造成难以估量的损失。

btcfans公众号

Scan QR code with WeChat

Disclaimer:

Previous: Web3j-OpenAPI使用教程 Next: DeFi后半场:龙头项目价值回归 细分项目层出不穷

Related