มาร์กซ์เคยยกคำพูดที่มีชื่อเสียงใน Das Kapital ว่า "หากมีกำไร 10% รับประกันว่าจะใช้ได้ทุกที่
ด้วยผลกำไร 20% มันจะเปิดใช้งาน
หากมีกำไร 50% ก็รับความเสี่ยง
เพื่อผลกำไร 100% มันกล้าที่จะเหยียบย่ำกฎของมนุษย์ทั้งหมด
ด้วยผลกำไร 300% มันกล้าที่จะก่ออาชญากรรมใด ๆ แม้กระทั่งความเสี่ยงที่จะถูกแขวนคอ "
สำหรับบล็อกเชน การกระจายอำนาจเป็นหัวใจสำคัญของทุกสิ่ง และเป็นเกณฑ์มาตรฐานของโลกบล็อกเชนและระบบนิเวศน์
ไม่ว่าการกระจายอำนาจจะอยู่ในรูปแบบใด แก่นแท้ของมันหมายถึงการจมลงของอำนาจจากสถาบันระดับบนสุดที่รวมศูนย์อำนาจไปสู่ประชาชนระดับรากหญ้า
แนวโน้มการจมนี้ยังคงเป็นประโยชน์ต่อทุกคนในการพัฒนาโลก "การกระจายอำนาจ" ที่กล่าวถึงโดยบล็อกเชนยังเป็นหมวดหมู่ที่ให้ความสำคัญกับสาระสำคัญของการพัฒนาสังคมด้วยการพัฒนาเศรษฐกิจและเทคโนโลยี เหรียญเป็นหนึ่งในนั้น
การสร้างในที่นี้หมายถึงการมอบหมายให้ทีมงานหรือบุคคลที่มีความเป็นมืออาชีพและปลอดภัย ผ่านการกำกับดูแลชุมชนที่มีสุขภาพดี เพื่อให้บรรลุเป้าหมายในการบรรลุวิสัยทัศน์ของสาขาบล็อกเชน
อย่างไรก็ตาม เช่นเดียวกับที่พฤติกรรมการสร้างเหรียญกษาปณ์ในช่วงปีแรก ๆ ถูกห้ามซ้ำแล้วซ้ำอีกในการเงินแบบดั้งเดิม พฤติกรรมการสร้างเหรียญที่เป็นอันตรายในสาขาบล็อกเชนก็ไม่มีที่สิ้นสุดเช่นกัน
โครงการที่ละเมิดสาระสำคัญของการกระจายอำนาจและสร้างเหรียญโดยประสงค์ร้ายผ่านผู้มีอำนาจที่ยิ่งใหญ่ของเจ้าของ ไม่เพียงแต่สร้างความเสียหายต่อการพัฒนาที่ดีของโครงการเท่านั้น แต่ยังทำลายผลประโยชน์ที่สำคัญของนักลงทุนและผู้สนับสนุนโครงการทุกคนอีกด้วย
เมื่อวันที่ 16 พฤศจิกายน ตามเวลาปักกิ่ง ทีมวิจัยด้านความปลอดภัยของ CertiK พบว่าโครงการ DeFi Walletreum ได้สร้างโทเค็น WALT จำนวน 500 ล้านโทเค็นโดยประสงค์ร้ายผ่านการดำเนินการภายในโดยทีมงานโครงการ ณ เวลา 05.00 น. ของวันที่ 16 พฤศจิกายน จำนวนโทเค็นที่สร้างโดยประสงค์ร้ายได้สูงถึงเกือบ 1.9 ล้านหยวน
จากการวิเคราะห์รหัสสัญญาอัจฉริยะ ทีมวิจัยด้านความปลอดภัยของ CertiK พบว่าความเสี่ยงของการรวมศูนย์รหัสสัญญาอัจฉริยะนั้นสูงมากและมีความเสี่ยงด้านความปลอดภัย เจ้าของโครงการมีอำนาจในการส่งโทเค็นจำนวนเท่าใดก็ได้ไปยังที่อยู่ใดก็ได้
ชื่อเรื่องรอง
การวิเคราะห์รายละเอียดการโจมตี
คำอธิบายภาพ
รูปที่ 1: ข้อมูลการทำธุรกรรมการโจมตีของการดำเนินการโดยใช้ข้อมูลภายใน
รูปที่ 1 แสดงข้อมูลการทำธุรกรรมของสัญญาอัจฉริยะ WALTToken ในโครงการ Walletreum ที่ดำเนินการภายในเพื่อสร้างโทเค็น WALT เพิ่มเติมอีก 500 ล้านรายการ
ค่าแฮชของธุรกรรมคือ 0xc0f3b0576f18a714d78b822754489d4201c9e36fb0ce4b2f53a93217564710e5
หลังจากที่ระบบ CertiK Skynet (สกายเน็ต) ตรวจพบข้อมูลธุรกรรมที่ผิดปกติในบล็อก 1126401 ระบบได้ออกคำเตือนไปยังทีมวิจัยด้านความปลอดภัยของ CertiK ทันที
คำอธิบายภาพ
รูปที่ 2: ฟังก์ชัน WALTToken smart contract mint()
รูปที่ 2 แสดงฟังก์ชัน mint() ที่ถูกเรียกโดยประสงค์ร้ายในสัญญาอัจฉริยะที่ได้รับความเสียหายจากการโจมตีการดำเนินการภายใน
จะเห็นได้จากการใช้โค้ดในบรรทัด 666 ที่ผู้เรียกภายนอกใดๆ ที่มีสิทธิ์ minter และสามารถถูกจำกัดโดยตัวดัดแปลง onlyMinter สามารถเรียกใช้ฟังก์ชันนี้ได้
ฟังก์ชั่นของฟังก์ชั่นนี้คือการสร้างโทเค็น (จำนวน) จำนวนเท่าใดก็ได้ในบัญชี (บัญชี) ใด ๆ ผ่านรหัส 667 บรรทัด
คำอธิบายภาพ
คำอธิบายภาพ
รูปที่ 4: เจ้าของโครงการได้รับอนุญาตจากโรงกษาปณ์
รูปที่ 4 แสดงผลของการสอบถามว่าเจ้าของโครงการได้รับอนุญาตจากโรงกษาปณ์หรือไม่
คำแนะนำด้านความปลอดภัย
คำแนะนำด้านความปลอดภัย
ทีมรักษาความปลอดภัยของ CertiK เชื่อจากการวิจัยว่าโครงการ DeFi ปัจจุบันส่วนใหญ่มีความเสี่ยงคล้ายกับโครงการ Walletreum
การใช้ฟังก์ชัน mint ประเภทนี้และการอนุญาต minter บ่งชี้ว่าเจ้าของโปรเจ็กต์มีสิทธิ์มากเกินไปในโครงการ DeFi ปัจจุบัน และความเสี่ยงของการรวมศูนย์อยู่ในระดับสูง
สิ่งนี้จะนำไปสู่การเกิดขึ้นของการดำเนินงานภายในและสถานการณ์อื่น ๆ ขึ้นอยู่กับ "คุณสมบัติส่วนบุคคล" และตัวเลือกของเจ้าของโครงการหรือทีม
ก่อนหน้านี้ทีม CertiK ได้วิเคราะห์ความเสี่ยงเดียวกันของการรวมศูนย์Mercurity.financeโครงการและโครงการ Walletreum ถูกโจมตีโดยการดำเนินงานภายใน และยังคงต้องเกิดขึ้นในอนาคต
ที่นี่ ทีมงาน CertiK ออกคำแนะนำ:
เพื่อป้องกันการดำเนินงานภายในดังกล่าว ควรให้ความสนใจกับการปรับปรุงระดับการปกครองของชุมชน และลดอำนาจส่วนกลางให้มากที่สุดเท่าที่จะเป็นไปได้ในการดำเนินโครงการ สำหรับการดำเนินการที่สำคัญใดๆ จำเป็นต้องผ่านการลงคะแนนเสียงของชุมชนหรือใช้กลไกการจำกัดการหน่วงเวลาของ Timelock
IOS
Android