EFI:DeFi安全篇：合約留后門，無腦授權有風險｜烤仔星選_DEFI

很多用戶在參與DeFi流動性挖礦的過程中，需要授權合約，但大家可能有所不知，如果你不小心授權了某些不靠譜的合約，錢包里的幣就危險了。

之前就有人在Twitter上討論過授權合約被釣魚的案例，因不小心授權某些開了后門的合約，有人一夜之間被盜走價值14萬美金的UNI。這個故事的主人公名叫JhonDoe，去年九月，他參與了Unicats收益農場，當時他對這個項目還蠻看好的，覺得它可能會成為下一個YFI。

接下來，Jhon打算質押UNI，然后收到了MetaMask錢包的提示，“需要授權合約無限使用UNI”。授權是在DeFi挖礦中是很常見的一個操作，所以他就沒細看。

數據：Elrond鏈上DeFi鎖倉量近20億美元，24h增長約50%:11月23日消息，據DeFi LIama數據顯示，Elrond（EGLD）鏈上DeFi鎖倉量達19.9億美元，創歷史新高，24h增長51.33%。公鏈鎖倉量排名位居第十位。目前 Elrond 上鎖倉占比最高的協議為 Maiar Exchange（MEX），份額近 100%。[2021/11/23 7:06:44]

質押UNI之后，挖出來一些MEOW，他覺得賺的差不多了，可以收菜收工了，就把資金都撤回了自己的錢包。撤走資金以后，Jhon以為錢都放在自己錢包里就可以高枕無憂了。殊不知，這個合約留了后門，一旦他授權了這個合約使用自己的token，即使他從挖礦池子中撤走資金，這個合約任何時候都能調用他的token。第二天醒來以后，Jhon發現自己一半的UNI都在未通過自己授權和簽署交易的情況下被轉走了。Jhon一下子就懵了，他錢包的私鑰從沒有泄露過，錢包也沒有漏洞，自己并沒有操作過轉賬，錢好好放在錢包里還能被轉走？排除了種種因素，推測出最有可能導致丟幣的原因是：以太坊網絡上最流行的token使用的ERC20標準設計中的一個已知但經常被忽略的漏洞。這個UniCats是個什么項目？為什么就能輕輕松松盜走別人錢包里的幣？這讓以后我們DeFi挖礦還敢挖嗎？“小貓釣魚”

Dogelon Mars將推出治理代幣xELON，以實現DeFi和質押功能:11月5日消息，Dogelon Mars公布其下一步發展計劃。Dogelon Mars社區正在努力將xELON引入其生態系統中。Dogelon Mars正在通過一份新合約構建DeFi和質押功能。xELON將作為治理代幣，為Dogelon Mars DeFi生態系統提供激勵，將用于激勵用戶質押其ELON。（Coinquora）[2021/11/5 6:34:05]

UniCats是一個類似Yam和Sushiswap的DeFi衍生品項目，抄襲抄的赤裸裸的，連前端界面都和Sushiswap完全一樣，除了可以挖平臺代幣MEOW之外，還可以挖UNI等其它代幣，在2池中還可以質押UNIOW和UNI的LP代獲得MEOW代幣。為什么這個項目會選擇UNI呢，因為當時Uniswap發幣，很多Uniswap的老用戶都免費領到了一堆UNI空投，大家不用專門買UNI，會有比較低的參與門檻。JhonDoe是參加這個協議的用戶之一，當時DeFi的fomo情緒很濃，很多人都說“審計是為新手準備的”，所以進了這個坑也很難怪他。JHON先后在UniCats合約中質押了兩筆UNI，價值分別為$17K、$15K，質押的操作要求他準許UniCat合約對錢包里UNI代幣的無限制訪問。可能是因為Jhon看到大家都這么做，每個人都要一開始點擊授權合約，所以沒有對此有任何疑慮。一開始還挺好的，收成不錯，賺了一些MEOW。耕種一天之后，Jhon開始從Unicats合約中解押自己的UNI。鏈上記錄：https://etherscan.io/tx/0xaf90d9ff2e9dc63ef6c6082a18214f991cc52493b0cc5c47d84590faac798f42https://etherscan.io/tx/0x751ae0fba597496f057426672fb736efdc837aa0860f1d626b4e7dd6e9052c80收獲頗豐，又入袋為安，是一次很成功的經歷，他就放心地睡覺去了。之后的事情，我們在上文也提到了。之后項目方表示：“出了bug”、“被黑客入侵”、“項目方非常努力”...換句話說就是，他們希望這個項目有成功的未來，現在正在“把這個美好的項目留給社區”，然后就卷款刪號跑路了。除了Jhon還有一些用戶也被坑了，甚至有的人還沒來得及撤出資金。

跨鏈DeFi平臺Libre DeFi完成80萬美元種子輪融資:9月24日消息，跨鏈DeFi平臺LibreDeFi完成80萬美元種子輪融資，本輪融資由MarshlandCapital、MagnusDigitalAssets、MoonrockCapital、GhafCapitalPartners、Cinchblock以及RaptorCapital領投。

本輪融資資金將用于擴充開發團隊并構建其生態系統。LibreDeFi是一個跨鏈DeFi平臺，計劃于2021年第四季度上線，可跨鏈BinanceSmartChain、PolygonNetwork和AvalancheNetwork。LibreDeFi旨在為加密市場參與者創建一站式DeFi平臺，未來還將大力開發各種NFT實用程序并布局GameFi領域。[2021/9/24 17:03:50]

開發人員跑路前在Tg群發的消息貪婪的“貓”

UniCats合約的有一個功能：setGovernance，有人讀的未經審核合同可能掠過這部分，因為它是相當流行的有智能的管理重點和管理地址合同。

DeFi數據平臺Defi Llama已完成對公鏈IoTeX的收錄:官方消息，DeFi數據平臺Defi Llama宣布已完成對高性能公鏈IoTeX的收錄。

DeFiLlama 是DeFi項目行情網站和數據平臺，致力于在沒有廣告及贊助的情況下為用戶提供準確的數據。DeFiLlama是CoinmarketCap，Coingecko等行情站的DeFi TVL數據供應商。

IoTeX作為硅谷開源項目成立于2017年，以鏈接現實世界和數字世界為發展目標，是與以太坊全兼容的高性能公有區塊鏈。[2021/9/22 16:57:58]

setGovernance是開發者Whiskers用來直接從用戶帳戶中提取資金的功能。函數接收兩個參數：一個地址、一些數據，需要將_governance設置為UNItoken地址，并為數據傳遞函數transferFrom，然后會觸發UNI合約，要求它代表用戶將資金轉移到UniCats合約。實際上，transferFrom的調用者是UniCats合約，像剛才我們提到的Jhon，他已經批準合約隨意使用自己所有的UNI資產，合約會將Jhon的UNI資產轉移到合約中相同的trasnferFrom，然后從他的錢包中盜取資金。當UNI合約收到此項調用時，會嘗試這項請求不會遇到任何錯誤。所有的轉賬都會通過，因為Jhon確實授權了合約來處理他的資金。資金從Jhon的帳戶中轉到UniCats合約中，然后再轉給Whisker。所以關鍵點就在于Jhon對UniCats合約的授權。除了Jhon之外，這個詐騙合約也有其他一些受害者，比如另一位用戶也是通過完全相同的過程損失了1萬個的UNI，他質押在UniCats中的資金全被刪除了，根本無法提現。

以太坊上DeFi協議總鎖倉量約合177.9億美元:據歐科云鏈OKLink數據顯示，截至今日11時，以太坊上DeFi協議總鎖倉量約合177.9億美元。其中鎖倉量排名前五的分別是 Maker 26.7億美元（+1.03%），WBTC 23.1億美元（+1.15%），Aave 17.8億美元（-2.27%），Uniswap V2 16.9億美元（+1.78%）以及Compound 16.1億美元（-0.5%）。[2020/12/4 23:05:00]

有一個信息大家需要知道，即使你地址余額為0，這個無限批準的風險都還在，也就是說UniCats隨時都能把你的錢拿走。只要你沒有撤消批準，或者這個賬戶/地址之后完全廢棄再也不用了，就會隨時會被攻擊。在盜取了用戶的資金之后，UniCats項目方將UNI換成ETH，然后將ETH被轉移到Whiskers控制的帳戶中，接著又以每次100ETH的方式存入TornadoCash。練習釣魚

在UniCats項目方發起攻擊之前，Whiskers還做過一些鏈上的練習，創建了一個單獨的合約和管理員帳戶，以確保黑客攻擊能夠正常工作。在此交易中，Whiskers嘗試使用相同的setGovernance調用，直接從合約中提走少量UNI，從合約中獲取2.75UNI。這個是第一階段，UniCats合同本身的資金被耗盡。后來，該帳戶執行另一種轉賬練習，它濫用了baDAPProve漏洞，由Tornado現金資助的帳戶將少額UNI直接轉換為ETH。這些練習運行了幾個小時之后，才發起了正式的攻擊。正式攻擊的方式和練習的方式基本上是差不多的，都是分兩個階段。練習攻擊的記錄：https://etherscan.io/address/0xcdd37ada79f589c15bd4f8fd2083dc88e34a2af2回顧曾經與Unicats進行過互動但尚未拒絕UniCats使用其令牌的每個帳戶，在它們這樣做之前都仍然很脆弱。即使是那些只批準了令牌但從未實際發送過任何資金的人。在直接抽走UniComp合約的同時，whiskers能夠在Uniswap、SushiSwap和Balancer上獲取17KUNI以及押注LP代幣的UNI/ETH。。在第二階段，使用baDAPProve漏洞，Whiskers總共撈了6萬UNI。這些錢是從大概30個賬戶中取出來的，損失最大的是JhonDoe，總共損失了37KUNI，當時價值約12萬美元。從他們賬戶中拿走的資產比他們原本在協議中質押要多，因為Jhon的UNI并不是全部質押進合約中挖礦了。每一個曾經和Unicats交互過，并且授權UniCats使用自己代幣的賬戶都隨時有被攻擊的風險，哪怕僅僅只是授權過但從沒有轉過資金。你可能會覺得這個故事中的JhonDoe很笨，但其實他在DeFi領域還挺有經驗的，他的地址有超過1600筆交易。這是一場很“完美”的攻擊，需要無限使用的授權，很少有人真正了解其中的含義。在大環境的fomo情緒下，每一個投資者都夢想暴富，渴望自己找到下一個YFI，黑客就是從中利用了這些因素以及這些系統經常試圖隱藏的復雜性達到目的。如何保護自己免受攻擊

我建議，參與DeFi時，只授權可信任的合約，如果是去體驗新項目，用的資金要控制在自己能承受的最大損失之內，以將風險最小化。這次攻擊的根源在于ERC20的工作方式以及它的一些限制，這個限制僅存在于ERC20協議中，其它的協議標準還沒有這個問題，但是由于ERC20仍然是最受歡迎的token標準，所以大家有必要了解一些策略來避坑：首次與未知的DeFi合約交互時，要先做研究。諸如MetaMask這樣的錢包有一個功能是，可以自己設置最大批準的金額。如果你不完全信任一個DeFi合約時，就可以提前進行設置，把風險控制在自己能夠承擔的范圍之內。

如果你已經授權了一些DeFi合約，而且有一些顧慮，不太確定會不會有風險，就可以用工具撤銷授權，我給大家介紹幾個工具：https://approved.zonehttps://revoke.cashhttps://tac.dappstar.io/#/未來DeFi和ERC20都會繼續發展壯大，建議大家好好學習，了解清楚這些復雜的金融系統，保護好自己的錢袋子，注意安全！Reference：zengo.com

Tags：UNIEFIDEFDEFIUNIMDeFi OmegaBlaze DeFiDeFiChain

狗狗幣最新價格