就在刚刚,YFII通报了chick.finance合约代码的风险,不过其中提到的“用户充值的所有代币,开发者都有权限提取”这句话其实并不是完全准确的,因此在这里我们需要给大家做下更详细的描述:
该合约恶意代码的问题并不在于“开发者事发后能提取用户存在合约中的代币”,而在于对于任何给该合约授权了的用户,开发者都能把你钱包里的代币一扫而空,这正是比特派安全实验室在之前的那篇《以太坊Defi生态当前最大的安全隐患》一文中提到的“滥用合约授权问题”。
动态 | The Block关于Blockstack现金消耗的分析文章遭官方指责:The Block研究分析师Matt Yamamoto近日发布关于Blockstack的文章,其估计Blockstack年度现金消耗为2000万美元以上,而其资本为3000万美元,这使得他们在2021年底之前不可能有跑道。之后Blockstack发表声明,称第三方关于该公司2019年上半年未经审计财务报表的报道是“不准确和误导性的”。声明称2019年上半年损益表显示运营费用为1020万美元,包括(a)330万美元的非现金支出和(b)一次性支出。1020万美元的数字不应与2019年上半年或未来半年期间的消耗相混淆。Matt Yamamoto发布一系列推文坚持自己的观点,称“时间将证明Blockstack何时开始筹集新资金。”TechCrunch创始人Michael Arrington评论称,The Block的反驳似乎暗示“(Blockstack)他们在撒谎”,这是相当大的指控。Blockstack联合创始人Muneeb Ali回复,这要么是对会计的基本误解,要么是有意曲解以产生耸人听闻的内容。对于一家研究和新闻媒体来说,这两种选择看起来都很糟糕。[2019/10/14]
恶意代码是如下这段:
公告 | 火币关于API上线新版稳定币兑换接口的通知:据火币官方公告,因为系统升级了原有的稳定币兑换策略,API 接口也需要随着进行变更,将新增两条稳定币兑换相关接口,并停用之前原有的稳定币兑换相关接口。生效日期为2019年9月13日。[2019/9/12]
functionstartReward(address_from,uint256amount)externalpub1ic{
独立评级机构提醒投资者关于Tether的危险性:独立评级机构Weiss Ratings提醒投资者关于Tether(USDT)的危险性。Weiss分析师Juan M. Villaverde表示:“最大的问题是Tether从来没有进行过审计,且Tether背后的人一直声称他们的虚拟货币是100%被美元支持的,然而却不能提供任何证据支持他们的说法。在社交媒体上似乎有个共识,即Tether实际上在运行一个部分准备金制度。大多数观察家声称他们没有美元来支持所有这些Tether币。我倾向于同意,因为这太可疑了。”如果Tether确实是欺诈行为会发生什么?或者如果某一主要政府认为加密货币交易所正在使用像Tether这样的加密货币来避免监管,会发生什么?如果这一巨大的流动性来源突然蒸发,会怎么样?Villaverde表示:“可以想象,这可能会导致交易失败,可能会推动投资者平仓,导致市场价格急剧下跌。”[2018/2/14]
????weth.safeTransferFrom(_from,owner(),amount);
??}
开发者对故意拼写错误的pub1ic做了如下约束
modifierpub1ic(){
????require(isOwner(),"Ownable:callerisnottheowner");
????_;
??}
上述代码的逻辑很简单,干的就是那些给这个合约授权了的用户,合约Owner都能把你的代币转给Owner,就这么简单。
这其实是DeFi生态里非常严重的恶性事件,理应引起全行业的重视,因为这次可能恶意开发者只是用拼写错误的方式来试图蒙大家,然后很幸运的第一时间被发现了,那下次呢?是不是可以写出逻辑复杂并且很难被看出来的漏洞,静静的等待上线把各位的钱包一扫而空呢?要再次强调的是,这个例子中,您损失的可不仅仅是您存入合约的资产,而是你钱包里的全部资产,明白了吗?
我们之前在向全行业提出“滥用合约授权”问题的时候,就曾预计到可能会有开发者作恶的情况出现,没想到这一天来的这么快,这次代码伪装的比较蠢,那下次呢?下次DeFi矿工们是否还能躲得过去了呢
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。