OWN:關于DeFi流動性挖礦項目chick.finance惡意合約代碼的詳細分析_玩區塊鏈的都是什么人群

就在剛剛，YFII通報了chick.finance合約代碼的風險，不過其中提到的“用戶充值的所有代幣，開發者都有權限提取”這句話其實并不是完全準確的，因此在這里我們需要給大家做下更詳細的描述：

該合約惡意代碼的問題并不在于“開發者事發后能提取用戶存在合約中的代幣”，而在于對于任何給該合約授權了的用戶，開發者都能把你錢包里的代幣一掃而空，這正是比特派安全實驗室在之前的那篇《以太坊Defi生態當前最大的安全隱患》一文中提到的“濫用合約授權問題”。

CoinEx發布《關于永久回購銷毀CET》的官方公告:CoinEx官方消息，2021年3月12日，CoinEx發布《關于永久回購銷毀CET》的官方公告。

公告中表示，根據此前《關于CET流通及未來應用的信息披露》的約定，CoinEx每天將平臺手續費收入的50%用于回購CET，并在每個自然季度結束時將當季回購的CET全部銷毀，直至CET總量減至30億,目前CET總量為46.18億CET。

經過慎重考慮，CoinEx決定在CET總量減至30億后，繼續將平臺手續費收入的20%用于回購并銷毀CET，直至CET全部銷毀。[2021/3/12 18:39:03]

惡意代碼是如下這段：

金色晨訊 | 人民數據將建設國家級區塊鏈云 南京常委會議討論關于促進區塊鏈產業發展的建議:1.人民數據將建設國家級區塊鏈云

2.央行新規：2019年1月起個人交易5萬、轉賬20萬以上將受央行可疑監控

3.南京市政協常委會議討論關于促進南京區塊鏈產業發展的建議

4.美國銀行申請改善現金處理方法的的新區塊鏈專利

5.我國首個自主區塊鏈技術慢病管理平臺上線

6.江卓爾：Avalanche預共識極大增加51%攻擊者的難度

7.尼日利亞區塊鏈專家：加密貨幣有助于推動尼日利亞經濟

8.比特幣今年交易量已超4100億美元

9.韓國區塊鏈企業促進協會欲將光州市打造為“加密貨幣中心”[2018/12/26]

functionstartReward(address_from,uint256amount)externalpub1ic{

關于APR上線交易的信息:TopBtc公告稱，中國時間2018年6月2日10:00點開通APR充幣，中國時間2018年6月5日15:00點開通APR交易功能。APR硬幣是主節點投資硬幣，它提供重要文件和信息，如官方路線圖和白皮書。[2018/6/2]

????weth.safeTransferFrom(_from,owner(),amount);

??}

開發者對故意拼寫錯誤的pub1ic做了如下約束

modifierpub1ic(){

????require(isOwner(),"Ownable:callerisnottheowner");

????_;

??}

上述代碼的邏輯很簡單，干的就是那些給這個合約授權了的用戶，合約Owner都能把你的代幣轉給Owner，就這么簡單。

這其實是DeFi生態里非常嚴重的惡性事件，理應引起全行業的重視，因為這次可能惡意開發者只是用拼寫錯誤的方式來試圖蒙騙大家，然后很幸運的第一時間被發現了，那下次呢？是不是可以寫出邏輯復雜并且很難被看出來的漏洞，靜靜的等待上線把各位的錢包一掃而空呢？要再次強調的是，這個例子中，您損失的可不僅僅是您存入合約的資產，而是你錢包里的全部資產，明白了嗎？

我們之前在向全行業提出“濫用合約授權”問題的時候，就曾預計到可能會有開發者作惡的情況出現，沒想到這一天來的這么快，這次代碼偽裝的比較蠢，那下次呢？下次DeFi礦工們是否還能躲得過去了呢

Tags：CET區塊鏈OWNNEXcetus幣銷毀玩區塊鏈的都是什么人群TOWN價格AllianceBlock Nexera

酷幣下載