近日,FAIRWIN智能合约存在漏洞这一问题引起各方关注,FAIRWIN作为近日以太坊链上交易量最高的资金盘模式应用,在以太坊链上还存在大量类似的克隆盘,如果存在隐藏漏洞会给公链带来较大风向,因此成都链安安全人员对FAIRWIN智能合约展开了深度分析,分析结果如下:
通过对FAIRWIN合约代码进行审计,我们发现其合约存在一个remedy()接口,如果合约owner没有通过close()关闭接口时,该接口可以被任意用户调用,并且可以通过这个接口伪造投注数据,实现“无中生有”,在不使用任何资金的情况下伪造了充值记录,之后攻击者便可以享受分红,或者通过userWithDraw()将余额全部提出。
观点:在中国基于公链做数字藏品是不行的,底层技术一定是联盟链:3月26日消息,数字藏品的全球趋势与中国创新的直播中,数藏中国创始人兼CEO王鹏飞在题为《合规是中国数字藏品行业发展的牛鼻子》的分享中称,所谓的合规有三点。第一,数字藏品要注重版权。第二点是链的选择,在中国做数字藏品基于公链是不行的,在中国一定是联盟链,大家不要怕联盟链做不好,它具有成为技术基础的条件。第三,二级市场流转的合规,2022年会成为二级市场合规的竞争年。“我认为这个市场的监管一定会来。”他说。(8btc)[2022/3/26 14:19:31]
观点:魁北克最多只能为矿工提供300MW的电力支持:加密货币评论播客Digiconomist今日发推反驳“仅加拿大魁北克省的水力发电量就足以支撑全球比特币网络运行”言论,并表示,加拿大魁北克的利用率甚至没有在全年均匀分布。它还必须应对冬季用电高峰,因此魁北克最多只能为矿工提供300 MW(每年2.6 TWh)的电力支持。另外,魁北克的比特币挖矿没有远大的未来。
此前消息,推特账户Documenting Bitcoin表示,仅加拿大魁北克省未利用的水力发电就足以支撑比特币网络的运行。加拿大整体拥有400 TWh的水电容量,而比特币网络运行每年只需要129 TWh。MicroStrategy首席执行官Michael Saylor等转发了该推文。[2021/8/15 22:15:34]
观点:山寨币价格依然跟随比特币:金融分析师ScottChipolina发文表示,虽然现在有超过3,000种不是比特币的山寨币或加密货币。但通常,山寨币的价格依然在跟随比特币的价格。这往往是因为山寨币购买者通常以法定货币购买比特币,以换取他们选择的山寨币。Scott还表示,比特币之后的山寨币背后的根本原因是,山寨币的价格通常以比特币衡量。比特币仍占据整个加密货币市值的一半以上。加密市场的这种统治力赋予了比特币很大的影响力和控制力。(Decrypt)[2020/10/4]
通过链上记录,我们发现项目方已于2019年7月28日通过closeAct关闭了该接口。通过成都链安Beosin-AML系统分析项目方所有的交易记录,我们进一步分析是否已经存在攻击者插入投注数据成功的情况。通过分析发现,该漏洞已被严重滥用。从十天前到现在为止,陆续有账户尝试调用remedy()接口来插入投注数据,不过由于该操作已被关闭,导致插入数据失败,可以看到插入金额都是几万ETH。
插入失败记录:
通过完整追溯,我们总共发现503条插入成功的交易记录,且插入日期都在项目方关闭接口之前。经统计,这503条交易全部由地址0xcb104fA25a1a46040DBaB9F554FF564CE325668b发起。
通过统计得出总共插入了5093个ETH,其中包括4711个冻结ETH,382个未冻结ETH。并且攻击者通过插入投注记录设置的500多个小号已经进行过提现操作。
通过进一步分析其合约部署情况发现,在项目方关闭actStu的前一天,也就是2019年7月27日,项目方刚刚部署FAIRWIN合约,在短短一天时间不到之内,项目合约之内便无中生有了5000多个ETH。7月29日,以太坊浏览器显示合约进行了开源。
?
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。