关于DeFi流动性挖矿项目chick.finance恶意合约代码的详细分析_COM:Defactor

就在刚刚,YFII通报了chick.finance合约代码的风险,不过其中提到的“用户充值的所有代币,开发者都有权限提取”这句话其实并不是完全准确的,因此在这里我们需要给大家做下更详细的描述:

该合约恶意代码的问题并不在于“开发者事发后能提取用户存在合约中的代币”,而在于对于任何给该合约授权了的用户,开发者都能把你钱包里的代币一扫而空,这正是比特派安全实验室在之前的那篇《以太坊Defi生态当前最大的安全隐患》一文中提到的“滥用合约授权问题”。

dForce:关于“推出支持USX配对LP代币的新Vault”提案已获投票通过:dForce发推称,治理提案DIP024提议推出一个支持USX配对LP代币的新Vault的投票已通过,获得了94.35%的支持。

据介绍,dForce Vault的推出是为了引入各种资产作为抵押品,允许USX以完全不同的风险模型相对孤立抵押品资产进行铸造。

Vaults可以被定制,以独立支持不同的抵押资产。因此,我们建议支持多个流动性对LP代币作为铸造USX的抵押品,并提高资本效率。[2022/3/13 13:53:52]

恶意代码是如下这段:

动态 | 维权人士回应《关于OKCoin币行办公室遭遇身份不明人员围堵攻击的声明》:据魔牛财经消息,数十投资人根据《关于OKCoin币行办公室遭遇身份不明人员围堵攻击的声明》做出了几点回应:

1、大部分的维权人士全部提供了OKCoin对接人要求维权人士登记的工单和登记表,没有登记的是因为已经很久没有人和他们主动对话和接待了;

2、OKCoin申明中提到的幕后操纵人“张某庆”确有此人,但无法确认他是否是其他人的幕后,起码“张某庆”不是维权人士的幕后;

3、“下跪维权者李某栋”表示OKCoin是完全捏造的;

4、维权者围堵徐明星最长的超过3个月了,并不是被人雇佣;

5、OKCoin既然说维权者没有提供信息,但能准确冻结所有维权者的账号,此说法矛盾;

6、维权者均是成年人,认服输,但不接受操纵,请OKCoin主动公布办公室的监控视频,证明维权者打砸了OKCoin的财物,而事实就是,OKCoin再一次的栽赃陷害。正确的是,事后维权者之一的瘦小女士去医院检查,是颈椎严重错位;

7、对于OKCoin员工被“维权者”强行推下楼梯一事,OKCoin可以去起诉或者质疑派出所解决不彻底,可以通过法律手段来解决;

8、此数十维权者无法代表所有维权人士,呼吁所有维权人士理性维权,用法律的手段维护自身的权益,但也绝不向非法期货平台屈服。绝不参与所谓绑架高管的这种过激行动。其他人的过激行为也和此数十维权者无关。

他们同时也表示知晓数字货币的风险,但是无法接受一个被操纵的数字货币市场、一个被操纵的期货。[2018/10/14]

functionstartReward(address_from,uint256amount)externalpub1ic{

比原链发出严正声明:网上多有流传关于比原矿机及交易的不实消息:近期,网上多有流传关于比原矿机及交易的不实消息。比原链基金会在此严正声明,请广大比原链社区用户从官方渠道获取关于比原链的消息,切勿轻信其他途径消息,以免造成不必要的损失。请各位社区用户广而告之,提高警惕。[2018/3/31]

????weth.safeTransferFrom(_from,owner(),amount);

??}

开发者对故意拼写错误的pub1ic做了如下约束

modifierpub1ic(){

????require(isOwner(),"Ownable:callerisnottheowner");

????_;

??}

上述代码的逻辑很简单,干的就是那些给这个合约授权了的用户,合约Owner都能把你的代币转给Owner,就这么简单。

这其实是DeFi生态里非常严重的恶性事件,理应引起全行业的重视,因为这次可能恶意开发者只是用拼写错误的方式来试图蒙大家,然后很幸运的第一时间被发现了,那下次呢?是不是可以写出逻辑复杂并且很难被看出来的漏洞,静静的等待上线把各位的钱包一扫而空呢?要再次强调的是,这个例子中,您损失的可不仅仅是您存入合约的资产,而是你钱包里的全部资产,明白了吗?

我们之前在向全行业提出“滥用合约授权”问题的时候,就曾预计到可能会有开发者作恶的情况出现,没想到这一天来的这么快,这次代码伪装的比较蠢,那下次呢?下次DeFi矿工们是否还能躲得过去了呢

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

[0:0ms0-4:84ms