时值国庆大假期间,加密钱包初创公司ZenGo的研究员亚历克斯·马努斯金爆料称,有用户一夜之间损失了价值14万美元的Uniswap代币UNI,而这与名为UniCats的“收益农场”有关。
据了解,一些参与DeFi提供流动性挖矿赚取收益的用户最近发现了UniCats这个新农场。从界面来看,UniCats类似YamFinance和SushiSwap;收益方面,不仅可挖矿本地MEOW代币,同时还可挖出包括UNI在内的其它代币。
“基于德阳智慧城市区块链基础设施的信用报告验证系统”案例发布:7月30日,中国工程院《中国区块链发展战略研究》项目发布“发现100个中国区块链创新应用”栏目之“基于德阳智慧城市区块链基础设施的信用报告验证系统”案例。项目通过德阳智慧城市区块链基础设施,对企业信用评级报告文件的基本信息进行上链存证,实现读取文件真实信息,以及验证文件真伪的功能。区块链存证技术将电子证件进行链上存证,生成一串“数字指纹”密码。不同的文件被赋予自己专属的“数字指纹”并进行链上存证,生成链上信用报表存证记录。在需要使用和验证的时候,平台会对链上存证、原始文件、验证文件三方的“数字指纹”进行比对,并出具文件的验证报告。
将信用报告文件的“数字指纹”进行上链存证,提供报告文件的验证服务,避免了文件在使用端的造假;同时,在文件中加入存证报告和上链说明,并对验证过程、操作人员都进行上链记录,对造假人员产生威慑力;通过文件真伪验证合约,对验证文件、原始文件、链上信息三方进行验证,对信用信息共享平台原始文件也进行验证,从而避免了管理方的造假机会。(证券日报)[2021/7/30 1:24:30]
界面友好,产能不赖,资产入场。
TrueChain作为区块链代表案例亮相清华大学出版社出品的书籍:据官方消息,由清华大学出版社出版的《解码区块链--原理机制、场景案例与通证经济》一书近日上市京东和天猫,书中介绍并分析了TrueChain项目并将之作为第三代公链的技术代表。本书由清华大学学生金融协会主席黄京磊、华中科技大学数学中心研究员Larry Lin和牛津大学硕士Eric Zhang联合撰写,本书后期还将翻译为韩文版出品。[2020/8/6]
当用户准备提供流动性时,UniCats弹出提示框,要求获取消费限制许可,而该许可的限制是:无限。
用户可能怎么也不会想到,在这个无限消费的许可的背后,UniCats开发者早已暗置了一个直通自家资产的“后门”。用户的资产可由此被悄悄转移至开发者指定的地址。
就这样,有大胆且不幸的“农夫”瞬间被窃取了价值14万美元的UNI,而其他用户也有不同程度的损失。
动态 | 区块链+公证智能化自助服务终端入选2019全国政法智能化建设创新案例:6月10日,2019全国政法智能化建设创新案例征集活动结果揭晓,“区块链+公证智能化自助服务终端”案例入选其中。[2019/6/12]
盗窃“现场”
那么,UniCats开的这个“后门”,又是如何对用户进行窃金操作的呢?
1、盗窃者首先将UniCats的owner权限转移给一个合约地址。
2、盗窃者通过获得owner权限的合约地址调用UniCats的setGovernance方法。
3、setGovernance函数调用对于代币的transferFrom函数,将用户资产转移到盗窃者地址。
第2、3步为此次盗窃的核心步骤,如下图所示:
动态 | 卓尔智联第一个区块链应用案例将于2019年1月份正式发布:据东方财富网报道,在第五届中国产业互联网大会上,卓尔智联集团(02098)联席CEO齐志平表示,产业互联网没有技术就没有未来,卓尔正整合资源,提出商务、技术双轮驱动策略,不断加大技术驱动的力量。卓尔未来将加强在产业链中链接的能力,依托区块链技术多方验证、数据不可篡改等特性,通过链接合作伙伴和上下游客户,为产业提供更多的服务。卓尔智联第一个区块链应用案例将于2019年1月份正式发布。[2018/12/23]
“后门”分析
UniCats合约中的setGovernance函数是实现盗窃的关键。通过调用此函数,UniCats合约即可作为调用者,能够向任意合约发起任意调用。
公告丨?苏宁消费金融对接苏宁联盟链 率先打造金融区块链成功应用案例:近日,苏宁消费金融通过独立部署节点成功接入苏宁联盟链,开展区块链黑名单数据上传和查询等业务,率先打造金融区块链成功应用案例,助力金融科技发展。具体而言,苏宁消费金融将本机构产生的黑名单数据作为一个交易发布到区块链上,发布即可获得积分,用于查询其他机构发布的黑名单数据。也可设置投诉服务,当发现的黑名单数据造假时,也可在系统中追诉数据提供方。该应用可使黑名单的有效辨识度增加近20%,从而有效降低风控成本。随着后期苏宁联盟链有效机构节点的扩展、黑名单共享算力的提升,风控的处理能力会更加有效和精准。[2018/6/25]
据上图所示,调用该方法可输入两个参数?,即一个地址类型的“_governance”和一个bytes类型的“_setData”。而函数的governance.call(_setupData)其实是表示向参数“_governance”地址发起一笔交易,其calldata为参数“_setData”。如此一来,只要有权限调用这个方法,便可以借合约的身份发起任意交易。
在进行代码编写时,其注释表示此函数是一个修改治理合约的函数,如下图所示:
事实上,根据成都链安的审计经验,修改治理合约通常并不需要调用call。而且,UniCats在对用户资产进行盗窃时,还刻意多次变换owner地址,如下图所示:
不仅如此,资产在转出后还立刻被流入混淆器,如下图所示:
如此操作,老练狠辣、一气呵成,因此基本可以断定,该项目就是一个彻头彻尾的局,为的就是钓鱼而上线。
令人细思极恐的是,在本案例中盗窃者调用了transferFrom方法对用户的资产实施转账,这就使得即便存在于钱包的用户资产,也可能面临被盗的风险。由于在合约授权时发起的是无额度限制授权,因此,一旦授权许可通过,合约就有权转移用户所有的资产。
成都链安郑重提醒,用户在进行合约授权时,使用多少,授权多少。这样操作的话,即便不幸遭遇类似欺诈性质的合约,也不会殃及钱包中的本金。如果用户不太清楚自己的授权情况,可以通过以下工具进行查询。
1、https://approved.zone
2、https://revoke.cash
3、https://tac.dappstar.io/#/
小结
于DeFi领域,用户获得新币的门槛大大降低,通过组合资产投资的确可能在短期内实现大规模的增值收益。但是,用户资产可能面临的风险状况就变得更为复杂,在这点上必须引起高度注意。
在DeFi这个“黑暗森林”,大胆冒险是禁忌一般的行为。用户资产不仅要受到客观行情波动的影响,质押时是否遭受“清算”也无法预知,而合约中的人为陷阱更是无处不在。
尤其是,不少DeFi项目都存在代理转账的逻辑,多数项目方也会直接要求用户授权最大值。也就是说,用户授权后,某些不良合约将利用留“后门”的手段,反噬用户所持的全部资产。
因此,对于用户而言,来自合约的一切许可请求都要格外注意,宁理性退场,不冒然入坑,时刻警惕恶意项目方的此类“后门”陷阱。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。