HashEx 在 DeFi 项目 Safemoon 上发现的漏洞

区块链审计和咨询公司 HashEx 发布了一份报告，声称它已经能够在 SafeMoon (SAFEMOON) 的智能合约架构中检测到总共十二个漏洞——代表不同程度的严重性。 因此，该公司声称，近 200 万投资者持有的数字资产可能面临风险。

此外，值得一提的是，至少有两个被发现对所有检测到的问题至关重要，而另外三个对系统构成了“高风险”威胁。 如果这还不够，HashEX 的审计团队指出，SafeMoon 的数字框架包含一个内在缺陷，可以使不法分子相当容易地更改佣金转移设置。

上述漏洞可能为潜在的地毯拉动开辟了渠道，并为黑客提供了资金。 排除持有人收取佣金的能力，防止发生内部代币交换，暂时阻止代币转移，在某些情况下，甚至操纵平台本地智能合约的编码。

仔细看看这个问题

从技术角度来看，就目前情况而言，SafeMoon 的智能合约对生态系统内发生的任何转移收取 5% 的固定费用。 这些代币作为奖励发放给货币所有者，让他们有更多理由去 HODL SAFEMOON。

也就是说，HashEx 的团队声称，由于外部账户持有人拥有平台的智能合约，因此在处理 SafeMoon 时有足够的理由保证一定程度的谨慎，并补充说：

万一“所有者地址”被泄露，任何时候都可能发生超过 20,000,000 美元的损失。 因为大约 15% 的流动性被保存在流动性池中，所以 SAFEMOON 汇率可能会迅速下降。

因此，如果 SafeMoon 的外部账户不幸遭到入侵，第三方代理可能会消灭平台的内部流动性池，并阻止 SafeMoon 开发人员将代币发送到销毁地址。 虽然 SafeMoon 首席技术官 (CTO) Thomas Smith 声称他事先知道这些问题，但他承认解决上述问题的最佳方法是通过硬分叉。

从这个意义上说，值得注意的是还有许多其他平台，例如 PERA，即使在我们说话的时候也是如此。 他们利用了一系列类似于 SafeMoon 的功能——但已经能够完全缓解上述问题，主要是通过采用不同的智能合约编码结构。

例如，PERA 在其智能合约代码中使用了被称为“无摩擦收益”的功能，因此添加了“余额更新”模块，这在 SafeMoon 和其他类似项目中似乎是缺失的。 PERA 还采用了“includeInReward”函数的最佳实现，该函数在本机 SafeMoon 智能合约中被错误地使用。

最后，应该提到 PERA 代币智能合约已经由领先的网络安全/区块链分析公司 Holborn 审计和清除。 根据其报告，该公司无法检测到该平台数字基础设施的任何重大安全漏洞，尤其是那些被发现危害 SafeMoon 的漏洞。

什么样的未来？

根据几份报告，最近几个月，Binane 智能链 (BSC) 面临多次黑客攻击，以至于最近记忆中最突出的三个 DeFi 攻击都发生在建立在 BSC 之上的平台上。 例如，就在上个月，《斯巴达协议》被曝光超过 3000 万美元。

同样，Pancake Bunny 最近也成为了 2 亿美元大规模闪电贷款攻击的受害者。 自崩溃以来，该项目的相关代币——ala BUNNY——的价格一直在持续下滑，并且已经损失了 90% 以上的价值。 在一个名为 Uranium Finance 的平台上也出现了完全相同的情况，在得知该项目框架中的恶意漏洞后，第三方不法分子可以窃取惊人的 5000 万美元。

众所周知，自 2021 年初以来，这些与黑客相关的问题有所增加。 因为，大量 DeFi 项目继续迁移到除 Ether 以外的区块链网络，尤其是在其本地 gas 费率之后分别在 2 月和 4 月达到疯狂的 40 美元和 75 美元（每笔交易）。

—-

原文链接：https://www.cryptonewsz.com/vulnerabilities-identified-on-defi-project-safemoon-by-hashex/

原文作者：Trevor Holman

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。