就在刚刚,YFII通报了chick.finance合约代码的风险,不过其中提到的“用户充值的所有代币,开发者都有权限提取”这句话其实并不是完全准确的,因此在这里我们需要给大家做下更详细的描述:
该合约恶意代码的问题并不在于“开发者事发后能提取用户存在合约中的代币”,而在于对于任何给该合约授权了的用户,开发者都能把你钱包里的代币一扫而空,这正是比特派安全实验室在之前的那篇《以太坊Defi生态当前最大的安全隐患》一文中提到的“滥用合约授权问题”。
Compound社区关于将抵押因子cSUSHI降至70%的提案开启投票:11月2日消息,Compound社区提案133开启投票,将持续至11月4日。该提案建议将Compound V2 SUSHI抵押因子cSUSHI从73%降低到70%。[2022/11/2 12:07:26]
恶意代码是如下这段:
DAO 治理投票 DIP-004 关于调整代币分配并下调代币产出速度的提案通过:据官方消息,去中心化衍生品交易所dFutureDAO 治理投票 DIP-004 提案于 11 月 16 日 17:00 结束,提案内容为关于调整代币分配并下调代币产出速度的建议,在币安智能链 BSC 、火币生链 Heco 上均高票通过。
调整后的规则为:Heco 链 DFT 为 1.3 亿,BSC 链 DFT 为 1.3 亿,以太坊链 DFT 为 1.4 亿,产出量将从原有的 3.75 降低到 1.875,即每条链每天产出 54000 个 DFT。[2021/11/16 21:55:04]
functionstartReward(address_from,uint256amount)externalpub1ic{
动态 | 中国进出口银行与金砖国家银行签署关于区块链的谅解备忘录:据Financialexpress消息,中国进出口银行(Exim Bank)与金砖国家银行于周三签署了一份关于分布式账簿和区块链在数字经济发展背景下合作研究的谅解备忘录。[2018/9/13]
????weth.safeTransferFrom(_from,owner(),amount);
??}
开发者对故意拼写错误的pub1ic做了如下约束
modifierpub1ic(){
????require(isOwner(),"Ownable:callerisnottheowner");
????_;
??}
上述代码的逻辑很简单,干的就是那些给这个合约授权了的用户,合约Owner都能把你的代币转给Owner,就这么简单。
这其实是DeFi生态里非常严重的恶性事件,理应引起全行业的重视,因为这次可能恶意开发者只是用拼写错误的方式来试图蒙大家,然后很幸运的第一时间被发现了,那下次呢?是不是可以写出逻辑复杂并且很难被看出来的漏洞,静静的等待上线把各位的钱包一扫而空呢?要再次强调的是,这个例子中,您损失的可不仅仅是您存入合约的资产,而是你钱包里的全部资产,明白了吗?
我们之前在向全行业提出“滥用合约授权”问题的时候,就曾预计到可能会有开发者作恶的情况出现,没想到这一天来的这么快,这次代码伪装的比较蠢,那下次呢?下次DeFi矿工们是否还能躲得过去了呢
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。