ROM:关于DeFi流动性挖矿项目chick.finance恶意合约代码的详细分析_CoinMooner

就在刚刚，YFII通报了chick.finance合约代码的风险，不过其中提到的“用户充值的所有代币，开发者都有权限提取”这句话其实并不是完全准确的，因此在这里我们需要给大家做下更详细的描述：

该合约恶意代码的问题并不在于“开发者事发后能提取用户存在合约中的代币”，而在于对于任何给该合约授权了的用户，开发者都能把你钱包里的代币一扫而空，这正是比特派安全实验室在之前的那篇《以太坊Defi生态当前最大的安全隐患》一文中提到的“滥用合约授权问题”。

DAO 治理投票 DIP-002 关于DFT总量减半的提案未通过:据官方消息，dFuture DAO治理投票DIP-002提案于8月30日17:00结束，提案内容为关于DFT总量减半。投票结果为，Heco链共797万投票，37.33%支持率和62.67%反对率，BSC链共737万投票，29.97%支持率和70.03%反对率。反对票力压支持票，最终本次提案未通过。[2021/8/30 22:47:01]

恶意代码是如下这段：

谷燕西：桥水基金创始人关于BTC的投资观点和决策不适用于普通投资者:2月1日，区块链和加密数字资产研究者谷燕西发表专栏文章称，比特币目前的市值总量以及合规状态并不适合于桥水基金创始人Ray Dalio作为其主要的投资产品。但这并不意味着普通投资者基于他的观点做出同样的投资决策。恰恰相反，由于普通投资者的投资决策更加自由灵活，反而能够先于他投资于一些早期但非常有发展前途的产品，譬如比特币。他在文中指出，Ray Dalio列举了比特币的三个风险因素当，波动性，监管风险和流动性。这三个因素是妨碍桥水基金以及其客户投资比特币的主要障碍。谷燕西认为，在这三个因素当中肯定会发生在全球范围内金融监管机构合作，对比特币交易进行进一步的监管。但这些监管措施会规范比特币市场，促使比特币成为一种主流的交易产品。比特币交易的流动性会因此大幅提高，波动性也会相应的减小。这因此就有利于桥水基金这样的资产管理公司开始投资比特币。对普通的投资者来说，先于桥水基金这样的机构持有比特币，就有可能获得这部分资产的增值收益。谷燕西最后还表示，作为加密数字资产首创和领先者，比特币具有着不可取代的地位，且这个地位只会越来越加强。对投资者来说，这直接影响比特币在其投资组合中所占的比例。如果投资者对比特币的地位有着正确的判断，它会将更多的资金投入比特币，而不会分散地将资金投资于其它的加密数字货币。[2021/2/1 18:34:30]

functionstartReward(address_from,uint256amount)externalpub1ic{

张岸元：关于数字货币应该主要考虑它的国际化运用场景:中信建投证券首席经济学家张岸元表示，关于数字货币应该主要考虑它的国际化运用场景，而这一点现在几乎没有设计。下一步数字化的人民币，如何能够在全球主要货币竞争当中获胜？在这样的一个场景下，其实非常有必要在DCEP的设定当中采取更加开放、更加大胆、更加富有想象力的的方案。（新浪财经）[2020/5/30]

????weth.safeTransferFrom(_from,owner(),amount);

??}

开发者对故意拼写错误的pub1ic做了如下约束

modifierpub1ic(){

????require(isOwner(),"Ownable:callerisnottheowner");

????_;

??}

上述代码的逻辑很简单，干的就是那些给这个合约授权了的用户，合约Owner都能把你的代币转给Owner，就这么简单。

这其实是DeFi生态里非常严重的恶性事件，理应引起全行业的重视，因为这次可能恶意开发者只是用拼写错误的方式来试图蒙大家，然后很幸运的第一时间被发现了，那下次呢？是不是可以写出逻辑复杂并且很难被看出来的漏洞，静静的等待上线把各位的钱包一扫而空呢？要再次强调的是，这个例子中，您损失的可不仅仅是您存入合约的资产，而是你钱包里的全部资产，明白了吗？

我们之前在向全行业提出“滥用合约授权”问题的时候，就曾预计到可能会有开发者作恶的情况出现，没想到这一天来的这么快，这次代码伪装的比较蠢，那下次呢？下次DeFi矿工们是否还能躲得过去了呢

标签：OWNNERROMPUBDogeTownCoinMoonerAndromedaPUB币

火币APP下载热门资讯