首发 | Keep3r项目中心化风险漏洞分析

北京时间2020年11月20日, Telegram社群出现某些截图声称Keep3rLink接受了CertiK的审计服务。

同日,CertiK安全研究团队发现Keep3r项目存在中心化安全风险。

项目拥有者拥有过大权限,可将允许奖励的限制提高,从而可以向任意参与者发送任意数额的奖励且可向任意地址铸造任意数目代币。 

Keep3rV1:

● 代码地址:

https://github.com/keep3r-network/keep3r.network/blob/master/contracts/Keep3r.sol

● 部署地址:

https://etherscan.io/address/0x1cEB5cB57C4D4E2b2433641b95Dd330A33185A44

Keep3rV1Helper:

● 代码地址:

https://github.com/keep3r-network/keep3r.network/blob/master/contracts/Keep3rV1Helper.sol

https://etherscan.io/address/0x93747c4260e64507a213b4016e1d435c9928617f

如下图图一所示,Keep3r项目的Keep3rV1智能合约中定义了两个角色:governance与pendingGovernance。

1178行setGovernance()函数允许当前governance角色将pendingGovernance角色设定为任意给定地址_governance。

同时在1186行acceptGovernance()函数中,当前pendingGovernance可以将自己授权为governance角色。

Gate.io行情:DAO 24小时涨幅达35.97%:据Gate.io芝麻开门行情显示,截至今日09:30,DAO 24H最高涨幅35.97%,当前涨幅34.75%,24H最高报价5.4498美元,当前报价5.4 美元,超过首发认购价格的50倍。24H现货交易量达328.97万美元。近期行情波动较大,请注意控制风险。[2021/2/17 17:23:24]

因此从逻辑上governance角色与pendingGovernance角色可以循环授权,且没有任何event事件可以提醒投资者governance角色与pendingGovernance角色的变更。

此时,项目拥有者可以随意设置拥有两个角色的地址。

图一:governance、pendingGovernance角色以及KPRH设置函数setKeep3rHelper()

一旦拥有governance角色,拥有角色的地址可以利用图一中1169行setKeep3rHelper()函数对当前KPRH指向的Keep3rHelper智能合约进行修改。

修改之后图二中1076行KPRH.getQuoteLimit()的具体实现就也极有可能被修改,接下来会返回给调用该函数的Keep3rV1合约不同的返回值。

图二:对某个用户keeper进行奖励的函数workReceipt()

项目拥有者如果考虑发动攻击,由于拥有governance角色,因此可以首先调用图三中addKPRCredit()函数。

在916行对某一个job(假设job的地址为ADDR_A, 被项目拥有者掌握)的地址给与任意数目的信用数目credit(假设给与的credit数目为CREDIT_A, 关联于ADDR_A)。

之后可以部署一个新的Keep3rHelper智能合约,然后在该智能合约中的将getQuoteLimit方法定义为返回uint类型变量的最大值。

然后项目拥有者可以使用ADDR_A的地址来调用图1中setKeep3rHelper()函数,将KPRH值指向给定的Keep3rHelper智能合约。

最终调用图二中workReceipt()函数,由于1076行代码由于KPRH.getQuoteLimit()函数被指定返回最大值的缘故必定通过。

在1077行中由于项目拥有者使用ADDR_A的地址来进行的调用,其在该智能合约中拥有的信用数目为CREDIT_A,因此amount的数目可以为略小于CREDIT_A的任意值。

当通过1077行之后,amount的奖励数目被给与keeper的地址。

最终该keeper可以调用合同内部的ERC20的转移函数,将获得的奖励转移到自己给定的地址中,完成攻击行为。

图三:对某个job增加信用数目credit的函数addKPRCredit()

除了上文讲述的中心化风险漏洞之外,图四中的mint()允许为governance角色的地址铸造任意数目的代币。

由于governance角色的地址可以通过图一中的setGovernance()函数以及acceptGovernance()进行设置。

也就代表着项目管理者只要拥有governanvce角色,即可以通过重设governance角色地址的方式,向任意地址铸造任意数目的代币。

图四:允许governance角色随意铸造代币的函数mint()

通过查询etherscan上Keep3rV1智能合约的数据,图五显示Keep3rV1拥有者地址为0x2d407ddb06311396fe14d4b49da5f0471447d45c。

同时,如图六显示,北京时间11月20日早11点governance角色的地址也为0x2d407ddb06311396fe14d4b49da5f0471447d45c。

可以得知项目拥有者拥有governance角色权限,因此有权限可以通过上述中心化漏洞进行攻击并获利。

图五:Keep3rV1智能合约拥有者等相关信息

图六:governance角色地址

区块链作为时代颠覆性的核心技术,也已在各个领域得到了广泛的应用,隐藏在收益和利好之下的安全隐患也不应被忽视。

安全审计现在已经是高质量项目的标配。

若项目没有被审计,对于用户来说,投资行为则要格外慎重;对于项目方来说,则需要准备好相关资料并寻找专业并且声誉好的审计公司进行审计。

若项目被审计过,则需尽量了解审计公司背景以及其审计报告中的各项指标。

CertiK采用形式化验证工具来证明智能合约可靠性,公司内部审计专家将利用包括形式化验证在内的多种软件测试方法,结合一流的白帽黑客团队提供专业渗透测试,从而确保项目从前端到智能合约整体的安全性。

近期,有部分项目方假借CertiK的名义发布不实审计报告。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块分享

瑞波币数字经济学家陈晓华:数字要素重构经济形态和治理模式

近日,在由江苏省人民政府主办,苏州市人民政府、苏州工业园区管理委员会承办的第三届中新合作服务贸易创新论坛之区块链技术及应用分论坛上,国家工信部工业互联网区块链重大项目评审专家、中国移动通信联合会区块链专业委员会主任委员兼首席数字经济学家陈晓华表示,数字要素正在加速重构经济发展与治理模式的新型经济形态。

USDC从大火到无人问津 EOS为什么长期低迷?

一直被我们忽视的不可承受之重:EOS为什么长期低迷 关于Blockone,应该近期会有一个新的进展公布,一切以官网为主,就不多说了。今天给一些我从来没说过,但是长期以来又被所有人忽视的数据。 1)这一条是来自慢雾的数据,2020年,ETH DApp被黑事件33起,损失金额超过3亿6千万美金,市值占比0.7%。

币安下载网易未来大会 首创区块链NFT门票

备受关注的2020年网易未来大会观众报名11月18日正式开启。今年网易未来大会延续了其持续创新之路,为每位参与大会的观众打造了一张全球唯一、不可替代、独一无二的区块链NFT(Non-Fungible Token)门票,作为大会入场的指定凭证。“2020网易未来大会”不仅是一场最高端科技交流的盛宴,也是最新技术应用落地的先锋场景。

波场金色观察 | “十四五”政策制定窗口期 盘点规划建议中的区块链

自区块链上升到国家战略以来,区块链作为一项“去中心化”的新兴技术一直备受关注。区块链被纳入“新基建”范围以后,这种趋势更加明显。包括广西、湖南、贵州、海南、北京、江苏、河北、广东等多个省市出台了区块链专项发展政策。 如今,临近“十四五”政策制定窗口期,市场预期未来面向“十四五”区块链等新基建领域更多政策出台值得期待。

[0:0ms0-0:484ms