BASE:首发 | DeFi项目Based智能合约出现漏洞 发生了什么？_区块链

“亡羊补牢，为时未晚”，这句话在生活中的大部分时候均适用。然而，在面临网络安全时，牢破也许就会造成无法挽回的损失。

在安全问题未造成不可弥补的损失前就被发现，或是一开始便做好万全准备，才是身为区块链从业者的安全第一要义。

北京时间8月14日下午，CertiK安全技术团队发现DeFi匿名耕种项目Based官方宣布有攻击者通过调用Based智能合约中的某一个函数，将一号池（Pool 1）冻结，同时宣布将重新部署其一号池。

百度Apollo首发 “Apollo 001”系列纪念数字藏品:金色财经报道，据百度Apollo智能驾驶官方公众号，百度Apollo全网首发首款 “Apollo 001”系列纪念数字藏品，以百度汽车机器人为主体形象，每款对应一个百度Apollo自动驾驶重要里程碑事件。据悉，该数字藏品将于2022年7月8日 09:55发布汽车机器人家族全家福空投款。[2022/7/7 1:58:19]

官方发布推特称，有黑客试图将“Pool1”永久冻结，但尝试失败。而“Pool1”将继续按计划进行。

CertiK通过分析该智能合约，认为这次冻结Based项目一号池事件，是一次由于存在智能合约漏洞导致的事故。

首发 | imKey正式支持Filecoin，成为首批Filecoin硬件钱包:12月1日，随着imToken2.7.2版本上线，imKey同步支持Filecoin，成为业内首批正式支持FIL的硬件钱包。Filecoin作为imKey多链支持的优先级项目之一，成为继BTC、ETH、EOS和COSMOS四条公链后的第五条公链。

据悉，imKey团队已在Q4全面启动多链支持计划，计划实现imToken已经支持的所有公链项目，本次imKey升级更新，无需更换硬件，不涉及固件升级，通过应用（Applet）自动升级，即可实现imKey对Filecoin的支持及FIL的代币管理。[2020/12/2 22:52:32]

首发 | 百度财报体现区块链 BaaS平台成为新战略重点:金色财经报道，2020年2月28日，百度（股票代码BAIDU）公布财报，其中将区块链BaaS平台相关的进展进行了单独叙述，依托于百度智能云的区块链平台有望成为技术创新方向的新增长引擎。在AI服务上，百度与上海浦东发展银行达成合作，共建区块链联盟，在百度区块链服务（BaaS）平台上实现跨行信息验证。[2020/2/28]

Based团队部署一号池智能合约，部署地址为0x77caF750cC58C148D47fD52DdDe43575AA179d1f。

首发 | 嘉楠耘智宣布与Northern Data在AI、区块链等高性能计算领域达成战略合作:据官方消息，2020年2月17日，嘉楠耘智宣布与区块链解决方案及数据中心服务提供商Northern Data AG达成战略合作。本次合作的内容涵盖AI、区块链及数据中心运维等高性能计算领域。

嘉楠耘智拥有丰富的高性能计算专用ASIC芯片研发经验。Northern Data AG则专注于区块链和数据中心等高性能计算基础设施的建设。通过本次战略合作，双方将在AI、区块链等新兴领域进一步释放增长潜能。[2020/2/19]

Based官方通过调用智能合约中的renounceOwnership函数来声明智能合约所有者，但未进行智能合约初始化。

由于在Based智能合约中initialize函数被错误的设置为可以被外部调用，因此造成在初始化智能合约过程中，一号池的智能合约被外部攻击者用错误的值初始化。

错误的初始化造成Based官方无法再次初始化一号池的智能合约，因此造成一号池被冻结，任何质押行为都无法完成。

Based官方决定放弃该智能合约，重新部署一号池智能合约。 

1. Based团队在部署智能合约后，没有及时的调用下图的initialize函数来初始化智能合约的设置：

2. 外部调用者利用Based团队在部署和初始化智能合约之间的时间差，乘机调用了下图中671行被错误设置调用范围的initialize函数，抢先初始化了一号池的智能合约：

3. 上图两个initialize函数都是由initializer的修饰符修饰。根据其中代码，如果调用了其中一个initialize函数，另外一个initialize函数就无法被调用。initializer修饰符代码如下图所示，这造成了Based官方失去了初始化函数的机会：

4. 综上因素，Based智能合约无法被官方正确初始化，因此任何质押行为都无法进行。

质押失败的交易记录：

该次事件本质上是由智能合约漏洞导致的，但如果Based团队提早注意到这个漏洞，提前初始化智能合约，可以完全规避这次危险，避免一号池被冻结。因此，CertiK安全技术团队提出如下建议：

部署智能合约时应准备好初始化智能合约所需要的命令脚本等工具，及时初始化智能合约，避免攻击者利用部署操作和初始化操作之间的时间差，抢先初始化或者恶意操纵智能合约。

开发者应精通智能合约的运行原理和技术细节，不要盲目的采用其他的智能合约代码。

可邀请专业的第三方安全团队或内部安全专家对其智能合约进行审计，保证智能合约的安全性和可靠性。

郑重声明： 本文版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。