買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > DAI > Info

UNI:UniCats“開后門”釣魚,十數萬UNI“洗白”_UNITS價格

Author:

Time:1900/1/1 0:00:00

時值國慶大假期間,加密錢包初創公司ZenGo的研究員亞歷克斯·馬努斯金爆料稱,有用戶一夜之間損失了價值14萬美元的Uniswap代幣UNI,而這與名為UniCats的“收益農場”有關。據了解,一些參與DeFi提供流動性挖礦賺取收益的用戶最近發現了UniCats這個新農場。從界面來看,UniCats類似YamFinance和SushiSwap;收益方面,不僅可挖礦本地MEOW代幣,同時還可挖出包括UNI在內的其它代幣。界面友好,產能不賴,資產入場。當用戶準備提供流動性時,UniCats彈出提示框,要求獲取消費限制許可,而該許可的限制是:無限。用戶可能怎么也不會想到,在這個無限消費的許可的背后,UniCats開發者早已暗置了一個直通自家資產的“后門”。用戶的資產可由此被悄悄轉移至開發者指定的地址。就這樣,有大膽且不幸的“農夫”瞬間被竊取了價值14萬美元的UNI,而其他用戶也有不同程度的損失。盜竊“現場”

Uniswap基金會:Uniswap資助計劃在18個月的時間里資助了700萬美元:金色財經報道,Uniswap基金會發文表示,Uniswap資助計劃于2021年啟動,在 18 個月的時間里向 122 名受助人資助了 700 萬美元。自 Uniswap 基金會于 2022 年 8 月成立以來,Grants 團隊已通過兩?波贈款發放了 33 筆贈款,總額約為 270 萬美元。?

此外,Uniswap基金會宣布2023年第一季度要做的三件事:

1.啟動一個網站,該網站將分享 Grants 流程和資助標準,以及我們對基金會投資的每個類別的策略。我們的目標是建立一個明確的地方來了解 Grants 計劃,并提供更多的清晰度和透明度。?

2.在網站上展示以前的受贈工具,以便社區可以了解和使用它們。

3.啟動新的融資計劃,提供不同的融資渠道,同時為 Uniswap 社區提供更多戰略價值。[2023/1/7 10:59:29]

那么,UniCats開的這個“后門”,又是如何對用戶進行竊金操作的呢?1、盜竊者首先將UniCats的owner權限轉移給一個合約地址。2、盜竊者通過獲得owner權限的合約地址調用UniCats的setGovernance方法。3、setGovernance函數調用對于代幣的transferFrom函數,將用戶資產轉移到盜竊者地址。第2、3步為此次盜竊的核心步驟,如下圖所示:

UNI突破40美元關口 日內漲幅為7.19%:火幣全球站數據顯示,UNI短線上漲,突破40美元關口,現報40.0001美元,日內漲幅達到7.19%,行情波動較大,請做好風險控制。[2021/5/12 21:52:10]

“后門”分析

UniCats合約中的setGovernance函數是實現盜竊的關鍵。通過調用此函數,UniCats合約即可作為調用者,能夠向任意合約發起任意調用。

Gate.io將上線Uniswap(UNI)交易,充提服務已開放:據官方公告,Gate.io已開通UNI的充值和提現服務,并將很快上線UNI交易和提供流動性挖礦理財服務,詳情請關注官方公告。Gate.io提醒:項目是流動性挖礦產生,DeFi項目泡沫非常嚴重,請用戶務必在完全了解風險并能承擔風險的情況下參與,Gate.io平臺不對投資行為承擔擔保、賠償等責任。詳情見原文鏈接。[2020/9/17]

據上圖所示,調用該方法可輸入兩個參數,即一個地址類型的“_governance”和一個bytes類型的“_setData”。而函數的governance.call(_setupData)其實是表示向參數“_governance”地址發起一筆交易,其calldata為參數“_setData”。如此一來,只要有權限調用這個方法,便可以借合約的身份發起任意交易。在進行代碼編寫時,其注釋表示此函數是一個修改治理合約的函數,如下圖所示:

聲音 | United Capital首席執行官:區塊鏈最終將影響每一筆金融交易:據newsbtc報道,United Capital創始人兼首席執行官Joe Duran表示,盡管區塊鏈仍處于早期階段,但支撐比特幣和加密貨幣的技術最終將影響所有個人的日常生活,這一點越來越明顯。區塊鏈本身將成為世界上發生的每一筆交易的一部分,這需要10年的時間才能實現。區塊鏈已經在廣泛的市場范圍內實現了更高的利用率,盡管Duran相信加密貨幣在未來會被廣泛使用,但他相信今天人們所知道的加密貨幣可能不會被廣泛使用,因為政府和央行會提供法定貨幣的數字版本,比如數字美元或數字人民幣。[2018/10/11]

事實上,根據成都鏈安的審計經驗,修改治理合約通常并不需要調用call。而且,UniCats在對用戶資產進行盜竊時,還刻意多次變換owner地址,如下圖所示:

不僅如此,資產在轉出后還立刻被流入混淆器,如下圖所示:

如此操作,老練狠辣、一氣呵成,因此基本可以斷定,該項目就是一個徹頭徹尾的騙局,為的就是釣魚詐騙而上線。令人細思極恐的是,在本案例中盜竊者調用了transferFrom方法對用戶的資產實施轉賬,這就使得即便存在于錢包的用戶資產,也可能面臨被盜的風險。由于在合約授權時發起的是無額度限制授權,因此,一旦授權許可通過,合約就有權轉移用戶所有的資產。成都鏈安鄭重提醒,用戶在進行合約授權時,使用多少,授權多少。這樣操作的話,即便不幸遭遇類似欺詐性質的合約,也不會殃及錢包中的本金。如果用戶不太清楚自己的授權情況,可以通過以下工具進行查詢。1、https://approved.zone2、https://revoke.cash3、https://tac.dappstar.io/#/小結

于DeFi領域,用戶獲得新幣的門檻大大降低,通過組合資產投資的確可能在短期內實現大規模的增值收益。但是,用戶資產可能面臨的風險狀況就變得更為復雜,在這點上必須引起高度注意。在DeFi這個“黑暗森林”,大膽冒險是禁忌一般的行為。用戶資產不僅要受到客觀行情波動的影響,質押時是否遭受“清算”也無法預知,而合約中的人為陷阱更是無處不在。尤其是,不少DeFi項目都存在代理轉賬的邏輯,多數項目方也會直接要求用戶授權最大值。也就是說,用戶授權后,某些不良合約將利用留“后門”的手段,反噬用戶所持的全部資產。因此,對于用戶而言,來自合約的一切許可請求都要格外注意,寧理性退場,不冒然入坑,時刻警惕惡意項目方的此類“后門”陷阱。

Tags:UNIATSNICCATUNITS價格brc20幣sats幣怎么樣UniCryptCATS

DAI
CAKE:關于去中心化網絡治理的十段思考_BTC

編者按:本文來自鏈聞ChainNews,星球日報經授權發布。撰文:MarioLaul,加密貨幣風險投資機構Placeholder研究員編譯:詹涓基于我過去幾年的研究,我整理了十段關于去中心化網絡.

1900/1/1 0:00:00
COIN:NFT能與DeFi一較高下嗎?NFT將成為下一個加密貨幣熱潮_PNFT價格

編者按:本文來自Cointelegraph中文,作者:ANTóNIOMADEIRA,Odaily星球日報經授權轉載.

1900/1/1 0:00:00
LID:新型技術對金融安全帶來新挑戰,數字資產向監管提出更高要求_數字貨幣

當前,中國金融科技的發展正處于高速前進的狀態,但不可否認的是,金融科技安全也正面臨著諸多挑戰,數字資產就是其中最具代表性的現象之一.

1900/1/1 0:00:00
DERI:Deribit期權市場播報:0928—讀者討論_ETH

今天PutsSell繼續主導市場,IV維持在低位。九月季度大量的Put被交割,OIRatio繼續維持0.65.

1900/1/1 0:00:00
SEN:市場樂觀情緒回歸,散戶時隔十周首現凈多調倉_區塊鏈

編者按:本文來自鏈聞ChainNews,撰文:CoinGecko,翻譯:盧江飛,星球日報經授權發布.

1900/1/1 0:00:00
比特幣:隨著比特幣的價格維持在1.1萬美元以上,看漲反轉趨勢正在形成_BLOCK

編者按:本文來自Cointelegraph中文,作者:WILLIAMSUBERG,Odaily星球日報經授權轉載.

1900/1/1 0:00:00
ads