UniCats“开后门”钓鱼,十数万UNI“洗白”_UNI:UNIFI币

时值国庆大假期间,加密钱包初创公司ZenGo的研究员亚历克斯·马努斯金爆料称,有用户一夜之间损失了价值14万美元的Uniswap代币UNI,而这与名为UniCats的“收益农场”有关。据了解,一些参与DeFi提供流动性挖矿赚取收益的用户最近发现了UniCats这个新农场。从界面来看,UniCats类似YamFinance和SushiSwap;收益方面,不仅可挖矿本地MEOW代币,同时还可挖出包括UNI在内的其它代币。界面友好,产能不赖,资产入场。当用户准备提供流动性时,UniCats弹出提示框,要求获取消费限制许可,而该许可的限制是:无限。用户可能怎么也不会想到,在这个无限消费的许可的背后,UniCats开发者早已暗置了一个直通自家资产的“后门”。用户的资产可由此被悄悄转移至开发者指定的地址。就这样,有大胆且不幸的“农夫”瞬间被窃取了价值14万美元的UNI,而其他用户也有不同程度的损失。盗窃“现场”

Uniswap发起“在所有具备Uniswap V3的链上部署V2”温度检查投票:8月29日消息,根据Uniswap治理页面显示,Uniswap发起了“在所有具备Uniswap V3的链上部署V2”温度检查投票。

Uniswap表示,目前唯一官方部署的Uniswap V2存在于以太坊主网。其他链上存在对V2类AMM的需求,有着许多分叉修改版本。这些分叉版本可能并不安全,而分叉的流动性本可以积聚到Uniswap V2。并且V2可以为小额交换提供更好的服务,在所有具备Uniswap V3的链上部署V2。

当前提案支持率达97.31%,将于8月31日结束。[2023/8/29 13:03:35]

那么,UniCats开的这个“后门”,又是如何对用户进行窃金操作的呢?1、盗窃者首先将UniCats的owner权限转移给一个合约地址。2、盗窃者通过获得owner权限的合约地址调用UniCats的setGovernance方法。3、setGovernance函数调用对于代币的transferFrom函数,将用户资产转移到盗窃者地址。第2、3步为此次盗窃的核心步骤,如下图所示:

美CFTC主席呼吁国会立法帮助监管加密货币:金色财经报道,商品期货交易委员会(CFTC)主席Rostin Behnam表示,需要采取一些措施来监管加密货币,并补充说,“解决办法”可能是让国会通过立法。他表示:“你可以想象,如果有一个明确的监管框架,机构需求可能会增加。但对我来说,我们考虑的是零售参与,是我们在我之前十多年的执法记录。我认为这是非常明显的证据,表明需要采取一些措施“。[2023/8/17 18:04:39]

“后门”分析

音乐NFT平台Sound.xyz宣布将在未来三个月内向所有人开放:金色财经报道,音乐NFT平台Sound.xyz在社交媒体宣布将在未来三个月内向所有人开放,在准备全面发布期间,Sound.xyz将部署艺术家入场流程(包括电子邮件注册、信用卡支付和移动APP)、验证音频所有权(确保用户不会上传不属于自己版权的音乐作品)、以及进行测试验证等工作。[2023/4/12 13:58:56]

UniCats合约中的setGovernance函数是实现盗窃的关键。通过调用此函数,UniCats合约即可作为调用者,能够向任意合约发起任意调用。

法律专家:针对Dapper违反证券法的指控而提起的诉讼,法官的判决是一个非常好的决定:金色财经报道,Dapper 试图驳回针对该公司在提供 NBA Top Shot NFT Moments 时违反证券法的指控而提起的诉讼。曼哈顿联邦法官 Victor Marrero 驳回了 Dapper 的驳回动议,因为他发现将 Top Shot NFT 标记为证券的论点是合理的,这在这项新技术中尚属首次。

区块链领域法律专家 Jeremy Goldman 表示,对于大多数使用公共区块链铸造 NFT 并允许他们的 NFT 在市场上进行交易的人来说,我认为这实际上是一个非常好的决定。法院的判决实际上可能对更广泛的 NFT 市场来说是个好兆头,因为 Marrero 法官强调 Dapper Labs 的 Flow 区块链是一个“私有”网络。法官说,Top Shot NFT 可能是证券,不仅因为 Dapper Labs 创造了它们,还因为该公司建立了 NFT 赖以推出的 Flow 区块链。[2023/2/25 12:29:11]

据上图所示,调用该方法可输入两个参数,即一个地址类型的“_governance”和一个bytes类型的“_setData”。而函数的governance.call(_setupData)其实是表示向参数“_governance”地址发起一笔交易,其calldata为参数“_setData”。如此一来,只要有权限调用这个方法,便可以借合约的身份发起任意交易。在进行代码编写时,其注释表示此函数是一个修改治理合约的函数,如下图所示:

事实上,根据成都链安的审计经验,修改治理合约通常并不需要调用call。而且,UniCats在对用户资产进行盗窃时,还刻意多次变换owner地址,如下图所示:

不仅如此,资产在转出后还立刻被流入混淆器,如下图所示:

如此操作,老练狠辣、一气呵成,因此基本可以断定,该项目就是一个彻头彻尾的局,为的就是钓鱼而上线。令人细思极恐的是,在本案例中盗窃者调用了transferFrom方法对用户的资产实施转账,这就使得即便存在于钱包的用户资产,也可能面临被盗的风险。由于在合约授权时发起的是无额度限制授权,因此,一旦授权许可通过,合约就有权转移用户所有的资产。成都链安郑重提醒,用户在进行合约授权时,使用多少,授权多少。这样操作的话,即便不幸遭遇类似欺诈性质的合约,也不会殃及钱包中的本金。如果用户不太清楚自己的授权情况,可以通过以下工具进行查询。1、https://approved.zone2、https://revoke.cash3、https://tac.dappstar.io/#/小结

于DeFi领域,用户获得新币的门槛大大降低,通过组合资产投资的确可能在短期内实现大规模的增值收益。但是,用户资产可能面临的风险状况就变得更为复杂,在这点上必须引起高度注意。在DeFi这个“黑暗森林”,大胆冒险是禁忌一般的行为。用户资产不仅要受到客观行情波动的影响,质押时是否遭受“清算”也无法预知,而合约中的人为陷阱更是无处不在。尤其是,不少DeFi项目都存在代理转账的逻辑,多数项目方也会直接要求用户授权最大值。也就是说,用户授权后,某些不良合约将利用留“后门”的手段,反噬用户所持的全部资产。因此,对于用户而言,来自合约的一切许可请求都要格外注意,宁理性退场,不冒然入坑,时刻警惕恶意项目方的此类“后门”陷阱。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

波场Second State 发布 Oasis Ethereum ParaTime_ASI:OAS

去中心化金融的崛起引发了世界金融基础设施的变革。而当前的公共区块链在性能和隐私保护方面均达不到金融服务的要求。OasisNetwork由全球著名的隐私计算和分布式系统专家设计和开发.

[0:0ms0-3:891ms