TOR:手把手教你如何避免大部分“土礦”風險_ATO

手把手教你如何避免大部分“土礦”風險

文章匯

剛剛

24

最近驚聞BSC上2個土礦又跑路了，金額在千萬級別，有一個礦朋友還中招了，實在是看不下去，和大家談談，如何避免大部分土礦的坑。

土礦一般來講，抽走資金一般這幾個步驟：

通過高APY吸引你沖動梭哈，畢竟高APY都是真金白銀支撐的，收益這么高大戶早來了，正所謂的收益越高，風險越大

通過一些“所謂的”安全措施讓你覺得風險很低

盜取資金之后馬上換為非erc代幣或者無法凍結的代幣，然后等待混幣機會逃走

看到了這個步驟，你應該明白了，如果能夠做到：

不開源的土礦一律不碰，不管他APY寫的多么誘人

開源的土礦，如果要參與，一定是在diff合約，檢查變量參數之后，少量資金參與。

Tom Wan：自從Voyager開放提款已從平臺轉出超2.29億美元:金色財經報道，21Shares母公司21.Co鏈上數據研析師Tom Wan在社交媒體上稱，自從Voyager 6月23日重新開放提款，已從平臺轉出超過2.29億美元，Voyager的標記錢包中仍有1.96億美元。持有量包括： 7400萬美元的BTC、5200萬美元的ETH、3200萬枚USDC、1500萬美元的SHIB、700萬美元的VGX。[2023/7/10 10:12:20]

那么相信你能規避大部分風險，下面簡單講一下怎么diff合約，怎么檢查參數，以及一些衍生的思考。

第一步：diff

這里以在線對比工具?https://www.diffchecker.com/?為例

注意一點，diff的合約需要是你真實要轉幣進去的合約地址

首先拿到原版的MasterChef代碼：

https://bscscan.com/address/0x73feaa1ee314f8c655e354234017be2193c9e24e#code

Matter Labs：推特團隊已著手保護zkSync官推賬戶:4月14日消息，zkSync開發團隊Matter Labs更新推文稱，我們正在與推特聯系，他們已經保護了zkSync的官推賬戶。我們將在重新獲得該賬戶的訪問權限后提供完整報告。[2023/4/14 14:04:48]

接著這里以popcornswap為例：

https://bscscan.com/address/0x584527ded17aceb3dc617c40b04e8fe9afc57096#code

分別吧代碼復制到兩邊，開始diff

這里我保存了diff結果，可以直接點這個link：https://www.diffchecker.com/VqaCP3DK

像結果中字符串的修改，或者//后的內容都可以忽略

NEAR Protocold披露與用戶錢包相關的電子郵件和SMS數據遭到破壞:金色財經報道，NEAR Protocold透露，用作錢包恢復選項的SMS和電子郵件數據于6月泄露給了第三方。在一篇新的博客文章中，NEAR表示在造成任何傷害之前問題已經解決。NEAR Protocol在wallet.near.org上的錢包產品允許用戶將包括電子郵件數據或電話號碼在內的恢復選項添加到他們的加密錢包帳戶中。系統中的錯誤意外將敏感細節暴露給第三方。NEAR表示，它能夠通過刪除第三方或其自己員工對數據的訪問權限來快速解決這種情況，防止違規行為對用戶的資金安全或隱私構成威脅。

此前報道，推特用戶曾表示，6月份在NEAR Protocol錢包中發現一個Bug，與Solana錢包被黑的情況相似。（the block）[2022/8/5 12:05:17]

如上圖這種，可以忽略

如果是原版添加的代碼，土狗刪除的，一般也不重要，重點是土狗和原版代碼不同的地方：

BitWell：平臺資產流動性儲備豐沛 用戶提幣一切正常:6月18日消息，近段時間，由于市場價格波動引發了一系列黑天鵝事件，導致部分機構和平臺資金出現流動性危機并宣布關閉提現，造成用戶恐慌。

對此，成長型資產交易平臺BitWell發布官方公告表示，平臺數字資產流動性儲備非常豐沛，所有資產均通過多層冷錢包體系進行儲備，不會出現任何兌付困難和延遲提幣的情況。同時，BitWell聲明，平臺從未與LUNA、Celsius、3AC等機構和平臺進行過業務合作，運營一切正常，所有服務均可正常使用，充提自由，無需擔心。[2022/6/18 4:36:19]

上圖為關鍵差異，土狗修改了原版的migrator方法，還增加了個一個叫做preUpgrade的函數。

看到這里，如果你對合約一無所知，安全期間，就可以直接關閉頁面保平安了。

這里簡單分析一下差異，首先migrate方法，這個是sushiswap繼承的代碼，原版代碼就有將池子里錢掏空的可能性。

popcorn這里，新的preUpgrade方法，是public的，代表所有人都能調用，就是一個非常可疑的點，理論上在migrator設置為惡意地址的時候能夠讓migrator掏空所有的錢。

Do Kwon：開發人員提供的消息不實，Terra社區研究員再次進行反駁:6月10日消息，Do Kwon昨晚在推特上表示，Terra生態開發人員在脫錨事件后提供了很多錯誤及虛假信息，他將積極主動與媒體溝通以提供正確信息。Do Kwon稱，有許多關于“核心開發人員”提供有關Terra機制的專家訪談的傳聞，開源開發是透明的，我建議媒體檢查這些人員是否曾將他們的代碼投入生產。雖然TFL打算繼續支持和建設Terra 2.0網絡，但它不是TFL主導的鏈，我們有意識地退出了空投分配，所有決定都由各個社區團體做出，盡管以一種不穩定的方式。”

Terra社區研究員FatMan對此進行了反駁稱Do Kwon在撒謊，TFL并沒有退出空投，他們只是在他們主要的公開追蹤錢包上這樣做。對于代碼的問題，FatMan稱Anchor的核心研究員之一Marco di Maggio曾透露，Terra的經濟研究人員負責創造設計，而開發人員負責發布代碼，網絡開發人員和經濟模型研究人員之間是有分工的。

此前消息，FatMan曾爆料TFL持有價值超2億美元的LUNA，Do Kwon使用影子錢包操縱治理，此外他還披露了TFL相關的四個錢包地址。[2022/6/10 4:16:15]

第二步：檢查變量

點擊土狗合約的這個按鈕：

檢查migrator，owner等變量：

可以看到migrator是0，owner是一個timelock地址，土狗的一種套路是，聲稱自己有timelock，給出了合約地址，但owner并不是timelock的地址，那明顯就是騙局了。

當然timelock合約，也可以做小動作，所以也需要做diff操作，這里他的timelock沒有問題，就不贅述了

那么完成了上面兩步，很多資深礦工可能會覺得，timelock有的，合約變量沒問題，雖然有代碼存在風險，但是有timelock啊，沒事，沖tmd，對低級土狗而言，可能確實就無風險了，但很可惜，popcornswap是一個略高級的土狗。看我下面分解盜幣過程：

項目方通過調用：

https://bscscan.com/tx/0x38f75296e3343228c0309f8c99a24ca4f4812372f2b032f38ce25ac5a992b768

preUpgrade方法，讓自己的地址有了合約里token的transferFrom權限

看前面的代碼可以發現，preUpgrade確實又這個功能，但他只會給migrator這個權限，而migrator又是0，修改migrator需要經過時間鎖，那么他是怎么做到的呢？

答案是：項目方在部署合約后，加timelock之前，把migrator改成了自己的地址，并通過preUpgrade提前獲取了里面所有token的allowance，然后再改回migrator，添加時間鎖。

因為這些tx混在項目方添加池子的tx中，普通人根本不可能去檢查一個池子之前的每一個tx，所以popcornswap得以在2小時內盜取2mil的代幣。

這個作案手法也引起了我的思考，目前并沒有有效的工具，能夠查出一個合約地址里，tokenallow給其他地址的情況，因此非常難發現問題。普通的用戶，沒有能力，也不太可能發現這個端倪，甚至我相信在本次事件中，一些對合約代碼有所了解的土礦老司機也一并翻車。

那么popcornswap的解析就講到哪里，下面是我個人的一些思考，以及私貨

后續思考

本次作案手法曝光之后，相信未來的土礦也很有可能利用類似的手法進行盜幣，而對普通用戶而言防不勝防，事實上最近2天bsc上就有2個礦翻車，金額還都不小。

作為交易所公鏈，不管是bsc，還是heco，他們的核心競爭力是什么？是去中心化嗎？

我個人認為不是的。

bsc，heco等，他們最大的優勢應該是1.低手續費2.交易所公信力背書

以bsc為例，作為一個類似DPos的設計公鏈，跨鏈橋非去中心化，以及上面的大部分資產都是幣安發放的情況下，即使代碼開源，談何去中心化？

個人認為，反而應該反其道行之，引入類似EOS的仲裁機制，最大程度的保證用戶在鏈上的的財產安全才是生存之道。

本次popcornswap事件以及最新翻車的土礦，幣安目前都還在踢皮球階段，要求用戶去報案或者說我們在監視黑客地址等等，而不是想辦法幫用戶挽回損失，長此以往，當土礦跑路越來越多的情況下，請問幣安，誰還會去用BSC？

如果類似事件在Heco或者其他交易所公鏈發生，而他們擁有類似的安全機制，保證了用戶的資產安全，這樣大部分散戶才敢放心的在上面繼續使用，畢竟，你作為交易所背書的公鏈，優勢不是，也不可能會是去中心化。

希望所有交易所公鏈技術團隊三思，通過代碼升級保證自己公鏈的安全性來差異化競爭，也許還不太晚。

原標題：Popcornswap合約解析+教你如何避免大部分土礦風險

作者：iNexusPro

挖礦

流動性挖礦

文章作者：iNexusPro

我要糾錯

聲明：本文由入駐金色財經的作者撰寫，觀點僅代表作者本人，絕不代表金色財經贊同其觀點或證實其描述。

提示：投資有風險，入市須謹慎。本資訊不作為投資理財建議。

金色財經>區塊鏈>手把手教你如何避免大部分“土礦”風險

Tags：RATTORATOATORItalian Football Federationraptor幣值換算TATOEquator價格

中幣