区块见闻 区块见闻
Ctrl+D收藏区块见闻

DEFI:UniCats“开后门”钓鱼,十数万UNI“洗白”_NIC

作者:

时间:

时值国庆大假期间,加密钱包初创公司ZenGo的研究员亚历克斯·马努斯金爆料称,有用户一夜之间损失了价值14万美元的Uniswap代币UNI,而这与名为UniCats的“收益农场”有关。据了解,一些参与DeFi提供流动性挖矿赚取收益的用户最近发现了UniCats这个新农场。从界面来看,UniCats类似YamFinance和SushiSwap;收益方面,不仅可挖矿本地MEOW代币,同时还可挖出包括UNI在内的其它代币。界面友好,产能不赖,资产入场。当用户准备提供流动性时,UniCats弹出提示框,要求获取消费限制许可,而该许可的限制是:无限。用户可能怎么也不会想到,在这个无限消费的许可的背后,UniCats开发者早已暗置了一个直通自家资产的“后门”。用户的资产可由此被悄悄转移至开发者指定的地址。就这样,有大胆且不幸的“农夫”瞬间被窃取了价值14万美元的UNI,而其他用户也有不同程度的损失。盗窃“现场”

信用机构巨头TransUnion将为DeFi借贷提供信用评分:金色财经报道,美国三大信贷机构之一的 TransUnion 将为去中心化金融(DeFi)贷方提供信用评分。TransUnion 将为个人在基于区块链的协议上申请贷款时提供传统(链下)信用评分,而不会损害申请人的隐私。该公司正在与数据安全公司 Spring Labs 和 DeFi 身份与合规软件开发商 Quadrata 合作提供该服务。[2023/4/20 14:16:37]

那么,UniCats开的这个“后门”,又是如何对用户进行窃金操作的呢?1、盗窃者首先将UniCats的owner权限转移给一个合约地址。2、盗窃者通过获得owner权限的合约地址调用UniCats的setGovernance方法。3、setGovernance函数调用对于代币的transferFrom函数,将用户资产转移到盗窃者地址。第2、3步为此次盗窃的核心步骤,如下图所示:

Huobi DeFi Labs投资总监Unica:Solana目前到了积极建设生态的时间:5月11日,在以《跨界脑暴:眺望Solana生态大宇宙》为主题的AMA中,Huobi DeFi Labs投资总监Unica表示,2018 年初在 ICO 横行的当时,Solana 的白皮书就认真地探讨了硬件层面加速的思路,字里行间是比较踏实的,区块链技术方面大多数开发者是纯软件背景出身,有能力讨论硬件问题的团队凤毛麟角。Solana一路走来受到关注也有质疑,并一次次战胜质疑,目前到了积极建设生态的时间。

Solana可以承载具有更高性能要求的生态应用,在区块链技术逐步进入主流的途中这是重要的优势。从投资者的角度来看,一个公链的繁荣与否也与其社区的活跃程度息息相关,可以看到的是从去年solana上线以来,开发者积极了解solana相关的技术栈和开发工具,并迅速搭建了各类项目,这也是值得重视并进行研究的。[2021/5/11 21:49:20]

DeFi借贷协议Union Protocol筹资300万美元:金色财经报道,DeFi借贷协议Union Protocol已筹集了300万美元的资金。该项目正在建立一个全球的、无需许可的信用网络,使任何人或智能合约能够访问以太坊以积累信用。[2020/12/19 15:44:19]

“后门”分析

UniCats合约中的setGovernance函数是实现盗窃的关键。通过调用此函数,UniCats合约即可作为调用者,能够向任意合约发起任意调用。

动态 | The Community九名成员因通过劫持SIM卡窃取加密货币遭指控:上周,美国当局以电信欺诈和严重身份盗窃向九人提出指控。据悉,这九个人均为一个网络犯罪组织的成员,他们通过劫持SIM卡和电话号码窃取加密货币。该组织被称为“The Community”,由八名美国人和一名爱尔兰人组成。其欺诈活动遍及佛罗里达州、加利福尼亚州、爱荷华州、纽约州、密苏里州、康涅狄格州和亚利桑那州。[2019/5/15]

据上图所示,调用该方法可输入两个参数,即一个地址类型的“_governance”和一个bytes类型的“_setData”。而函数的governance.call(_setupData)其实是表示向参数“_governance”地址发起一笔交易,其calldata为参数“_setData”。如此一来,只要有权限调用这个方法,便可以借合约的身份发起任意交易。在进行代码编写时,其注释表示此函数是一个修改治理合约的函数,如下图所示:

事实上,根据成都链安的审计经验,修改治理合约通常并不需要调用call。而且,UniCats在对用户资产进行盗窃时,还刻意多次变换owner地址,如下图所示:

不仅如此,资产在转出后还立刻被流入混淆器,如下图所示:

如此操作,老练狠辣、一气呵成,因此基本可以断定,该项目就是一个彻头彻尾的局,为的就是钓鱼而上线。令人细思极恐的是,在本案例中盗窃者调用了transferFrom方法对用户的资产实施转账,这就使得即便存在于钱包的用户资产,也可能面临被盗的风险。由于在合约授权时发起的是无额度限制授权,因此,一旦授权许可通过,合约就有权转移用户所有的资产。成都链安郑重提醒,用户在进行合约授权时,使用多少,授权多少。这样操作的话,即便不幸遭遇类似欺诈性质的合约,也不会殃及钱包中的本金。如果用户不太清楚自己的授权情况,可以通过以下工具进行查询。1、https://approved.zone2、https://revoke.cash3、https://tac.dappstar.io/#/小结

于DeFi领域,用户获得新币的门槛大大降低,通过组合资产投资的确可能在短期内实现大规模的增值收益。但是,用户资产可能面临的风险状况就变得更为复杂,在这点上必须引起高度注意。在DeFi这个“黑暗森林”,大胆冒险是禁忌一般的行为。用户资产不仅要受到客观行情波动的影响,质押时是否遭受“清算”也无法预知,而合约中的人为陷阱更是无处不在。尤其是,不少DeFi项目都存在代理转账的逻辑,多数项目方也会直接要求用户授权最大值。也就是说,用户授权后,某些不良合约将利用留“后门”的手段,反噬用户所持的全部资产。因此,对于用户而言,来自合约的一切许可请求都要格外注意,宁理性退场,不冒然入坑,时刻警惕恶意项目方的此类“后门”陷阱。

标签:NICICADEFIDEFNICE价格BICA币World of DefishDeFi Warrior

莱特币最新价格热门资讯
DEF:行情分析:大盘受阻回落,行情重回分歧阶段_元宇宙

本文来自:哈希派,作者:哈希派分析团队,星球日报经授权转发。富达的比特币指数基金投资超过 1.25 亿美元:金色财经报道,文件显示,Fidelity Investments 比特币指数基金推出近.

比特币:新的热点已经出现?灰度买币力度不减_DEF

市场刚平静两天,新的热点就已经出现了,近两天一个叫NFT的概念被反复提起。老玩家对NFT可能还有些概念,而近两年才进入币圈的新玩家或许对这个概念有些陌生.

NIC:ETH-DeFi火爆的启示_DEFI

编者按:本文来自闪电HSL,作者:黄世亮,Odaily星球日报经授权转载。DeFi的设计和产品,早在2013年就有了,现在所有的DeFi产品的技术和原理以及产品化,都在比特股上有,但都没火起来.

ETH:香港:金融科技及加密货币中心_加密货币

香港被认为是世界上最好的金融科技中心之一,一直位列全球金融科技报告的前十名。香港是至少8家估值超过10亿美元的初创企业的所在地,包括Airwallex、TNG、WeLab、Lalamove、Go.

数字货币:数字人民币真的来了,六年历程全回顾_区块链

编者按:本文来自链内参,作者:内参君,Odaily星球日报经授权转载。数字人民币红包试点来了!深圳联和央行派发1000万“数字人民币红包”正式拉开了数字人民币的应用.

MEX:3个原因阐释CFTC针对BitMEX采取的行动不会使比特币价格崩溃_UniMex Finance

编者按:本文来自Cointelegraph中文,作者:JOSEPHYOUNG,Odaily星球日报经授权转载.