许多DeFi的参与者已经成为代币合约漏洞的受害者,这导致他们损失了不计其数的钱或代币。这中情况在Uniswap中最常见,因为只要他们有技术并且可以支付以太坊手续费,任何人都被可以写一份智能合约。不幸的是,这也导致了出现许多本质上就是恶意的智能合约。
不过,绝大多数的子伎俩可以通过使用Etherscan检查智能合约来识别。以下步骤可用于确定合约是否是恶意的。为了展示好的合约和坏的合约之间的区别,本教程将首先给出一个正常合约的例子,然后给出恶意合约的例子。
正常的合约例子
1.访问以太坊浏览器;
2.在搜索栏中输入合约地址(仔细检查你是否有正确的地址);
2a.如果不知道合约地址,可以通过Dextools、CMC或CoinGecko获得。
安全公司:AurumNodePool合约遭受漏洞攻击简析:金色财经报道,据区块链安全审计公司Beosin EagleEye监测显示,2022年11月23日,AurumNodePool合约遭受漏洞攻击。
Beosin分析发现由于漏洞合约的changeRewardPerNode函数未进行验证,导致攻击者可以调用该函数进行任意值设置。
攻击者首先调用changeRewardPerNode函数将每日奖励值设置成一个极大数,接下来调用claimNodeReward函数提取节点奖励,而节点奖励的计算取决于攻击者设置的rewardPerDay值,导致计算的节点奖励非常高。而在这一笔交易之前,攻击者便通过一笔交易(0xb3bc6ca257387eae1cea3b997eb489c1a9c208d09ec4d117198029277468e25d)向合约存入了1000AUR,创建了攻击者的节点记录,从而使得攻击者能够提取出该节点奖励。最终攻击者通过该漏洞获得约50个BNB($14,538.04)。[2022/11/23 8:01:04]
2b.需要记住的是,代币页和合约页是不同的,请确保位于合约页上。
Beosin:UVT项目被黑客攻击事件简析,被盗资金已全部转入Tornado Cash:金色财经报道,据Beosin EagleEye 安全预警与监控平台检测显示,UVT项目被黑客攻击,涉及金额为150万美元。攻击交易为0x54121ed538f27ffee2dbb232f9d9be33e39fdaf34adf993e5e019c00f6afd499
经Beosin安全团队分析,发现攻击者首先利用开发者部署的另一个合约的具有Controller权限的0xc81daf6e方法,该方法会调用被攻击合约的0x7e39d2f8方法,因为合约具有Controller权限,所以通过验证直接转走了被攻击合约的所有UVT代币,Beosin安全团队通过Beosin Trace进行追踪,发现被盗资金已全部转入Tornado Cash。[2022/10/27 11:48:46]
下面是代币页的例子:
慢雾:DEUS Finance 二次被黑简析:据慢雾区情报,DEUS Finance DAO在4月28日遭受闪电贷攻击,慢雾安全团队以简讯的形式将攻击原理分享如下:
1.攻击者在攻击之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。
2.在几个小时后攻击者先从多个池子闪电贷借出143200000USDC。
3.随后攻击者使用借来的USDC在BaseV1Pair进行了swap操作,兑换出了9547716.9个的DEI,由于DeiLenderSolidex中的getOnChainPrice函数是直接获取DEI-USDC交易对的代币余额进行LP价格计算。因此在此次Swap操作中将拉高getOnChainPrice函数获取的LP价格。
4.在进行Swap操作后,攻击者在DeiLenderSolidex合约中通过borrow函数进行借贷,由于borrow函数中用isSolvent进行借贷检查,而在isSolvent是使用了getOnChainPrice函数参与检查。但在步骤3中getOnChainPrice的结果已经被拉高了。导致攻击者超额借出更多的DEI。
5.最后着攻击者在把用借贷出来DEI兑换成USDC归还从几个池子借出来的USDC,获利离场。
针对该事件,慢雾安全团队给出以下防范建议:本次攻击的原因主要在于使用了不安全的预言机来计算LP价格,慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。[2022/4/28 2:37:18]
安全公司:Starstream Finance被黑简析:4月8日消息,据Agora DeFi消息,受 Starstream 的 distributor treasury 合约漏洞影响,Agora DeFi 中的价值约 820 万美金的资产被借出。慢雾安全团队进行分析后以简讯的形式分享给大家。
1. 在 Starstream 的 StarstreamTreasury 合约中存在 withdrawTokens 函数,此函数只能由 owner 调用以取出合约中储备的资金。而在 April-07-2022 11:58:24 PM +8UTC 时,StarstreamTreasury 合约的 owner 被转移至新的 DistributorTreasury 合约(0x6f...25)。
2. 新的 DistributorTreasury 合约中存在 execute 函数,而任意用户都可以通过此函数进行外部调用,因此攻击者直接通过此函数调用 StarstreamTreasury 合约中的 withdrawTokens 函数取出合约中储备的 532,571,155.859 个 STARS。
3. 攻击者将 STARS 抵押至 Agora DeFi 中,并借出大量资金。一部分借出的资金被用于拉高市场上 STARS 的价格以便借出更多资金。[2022/4/8 14:12:38]
这是合约页的例子:
3.点击上面黄色高亮的「合约」按钮;
4.选择如下所示的阅读合约:
5.现在可以阅读合约的参数,它们应该是这样的:
现在怎么办?
这就是最棘手的地方,因为有无数个潜在的参数可以包含到一个代币的智能合约中。在上面的例子中,只有8个参数,这是一个正常合约的标志。因为所有这8个参数都是代币所必需的,并且不会引发「抽毯子」。
rugpull,即「抽毯子」
其他代币的合约也一样,仍然可以使用完全相同的步骤来阅读合约。在恶意合约中有一些常见的危险信号,这些将在后文概述。现在我们知道了如何访问和查看智能合约参数,就可以确定哪些是潜在的恶意代码。
恶意合约例子
1.铸币功能——这个功能允许铸造更多的代币,从而增加了供应量,并可能允许铸币者在市场上卖出这些代币。这是最常见的导致相关代币价格崩溃的情况。声明:一些代币具有mint功能,因为依赖于弹性供应。但除非有造币的理由,或相关的规则存在,否则不应该有mint功能。检查谁是mint功能的所有者是很重要的:如果所有者是dev,这显然是一个危险信号;如果minter是一个基于数量/价格的智能合约,这就是去中心化的,不太可能是一个局。
2.白名单功能——这个参数只有在项目进行随机预售时才会出现,功能是要求白名单的地址才可以参与购买,以确保没有超额认购。如果项目没有预售,并且在合约中仍然有这个功能,那么它可能被用来使得任何不在白名单上的地址无法出售。也就是说,你可以买,但不能卖。
3.冻结功能——顾名思义,这个功能可以在任何时候冻结资产交易。虽然简单,但它可以很明显地阻止人们出售资金池中的代币,锁定以太和原生代币直到解冻。
3a.叠加所有权转移功能,如果合约创建者拥有冻结功能的控制权,那么他们可以冻结合约,然后将所有权发送到烧毁地址。这样就「杀死了」合约中的以太坊和其他代币,这部分代币将永远无法操作。??
4.不是特定的参数,而是一个代币具有的参数越多,被攻击的参数也就越多。除非代币的项目需要这些参数,否则不应该随意地将它添加到代码中。
其他的注意事项
1.「0多到难以计量」的总量,或者说,一个地址拥有绝大部分的代币。通常可以看到部署合约的地址拥有大部分的代币,这是一个潜在的危险信号。
2.Uni-v2池的代币量,明显小于最大个人持有者的代币量。注意,这里并不包括staking,因为staking地址是众多地址转入的累计额。这是「鲸鱼」分布不均的标志,「鲸鱼」破坏生态系统的可能性越来越大。
注意:正常地址和合约地址之间的区别是地址旁边的符号。用黄色突出显示的符号表示该地址是一份合约。如果这个符号不存在,那么这个地址就是一个个人地址。如果合约中出现了大量的代币,那么了解它们的用途就非常重要了(比如用于staking、线性解锁或锁定团队代币等)
3.匿名团队很可能是一个危险信号,但是也应该理性看待匿名性。如果产品是健全的,安全措施已经到位,开发人员的代码和对问题的回答都是透明的,那么匿名不应该是一个负面因素。但如果匿名和其他危险信号同时出现,那就意味着风险显著增加。
总结
总的来说,与其他的投资相比,以太坊上的Defi合约的风险肯定很高。然而,了解合约运作的基本知识,并能够识别出潜在的危险信号,可以帮助用户降低这种风险。在区块链上进行交互总是有风险的,但是投资于没有恶意代码的合约可以显著防止更多的损失,并且从长远来看可能有助于你的收益。
原文来源:GemHunters
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。