RAT:Popcornswap合約解析+教你如何避免大部分土礦風險_tourstorageserver

最近驚聞BSC上2個土礦又跑路了，金額在千萬級別，有一個礦朋友還中招了，實在是看不下去，和大家談談，如何避免大部分土礦的坑。

土礦一般來講，抽走資金一般這幾個步驟：

通過高APY吸引你沖動梭哈（注意，很多雞賊的土礦都是寫APR，看起來更高，用APR的土礦求穩可以直接關閉），畢竟高APY都是真金白銀支撐的，收益這么高大戶早來了，正所謂的收益越高，風險越大

通過一些“所謂的”安全措施（timelock等）讓你覺得風險很低

盜取資金之后馬上換為非erc代幣或者無法凍結的代幣，然后等待混幣機會逃走

看到了這個步驟，你應該明白了，如果能夠做到：

不開源的土礦一律不碰，不管他APY寫的多么誘人

開源的土礦，如果要參與，一定是在diff合約，檢查變量參數之后，少量資金參與。（然而可能還有風險，比如popcornswap，會詳解）

那么相信你能規避大部分風險，下面簡單講一下怎么diff合約，怎么檢查參數，以及一些衍生的思考。（小白向）

Worldcoin：World ID等全球PoP解決方案可以解鎖新一代產品和服務:金色財經報道，Worldcoin官方發文稱，世界幣正在全球開發者社區的支持下建立世界上最大的人類身份和金融網絡。使用World ID構建，開發人員可以通過強大的方式來防止機器人程序并使用戶能夠展示其經過驗證的人格證明。?World ID等全球PoP解決方案可以解鎖新一代產品和服務，包括：

·社交網絡。機器人保護、社區審核、內容歸屬；

·表決。DAO 治理、選舉、在線民意調查；

·金融服務。抵押貸款不足、卡欺詐、合規；

·客戶激勵。忠誠度計劃、優惠券、推薦、免費試用；

·市場。聲譽、虛假評論、虛假交易、預防黃牛；

金錢分配。社會項目、發展援助、救災、非營利援助、獎學金、加密貨幣空投、全民基本收入。

然而，他們的成功取決于充滿活力和多元化的開發者社區，通過構建有用的第三方應用程序來提供其可擴展性、可用性和實用性。[2023/8/12 16:21:43]

第一步：diff

安全監測：@Popcorn_DAO Discord 服務器遭攻擊:金色財經報道，據SharkTeam鏈上分析平臺 ChainAegis 安全監測顯示，@Popcorn_DAO Discord 服務器遭攻擊，正在發布虛假釣魚網站，請勿點擊發布的任何鏈接直至團隊修復以免造成損失。[2023/6/21 21:52:20]

這里以在線對比工具 https://www.diffchecker.com/ 為例

注意一點，diff的合約需要是你真實要轉幣進去的合約地址（可以轉非常少的量去拿地址）

首先拿到原版的MasterChef代碼（這里以pancakeswap為例）：

https://bscscan.com/address/0x73feaa1ee314f8c655e354234017be2193c9e24e#code

接著這里以popcornswap為例：

https://bscscan.com/address/0x584527ded17aceb3dc617c40b04e8fe9afc57096#code

Web3創作者社區應用PoP Planet完成400萬美元天使輪融資:5月26日消息，Web3創作者社區應用PoPP宣布完成400萬美元天使輪融資，Foresight Ventures領投，數家其它機構和個人參投。本輪融資完成后，PoPP估值達到4000萬美元。此輪資金將支持PoPP上線后繼續投入產品研發迭代及創作者激勵，近期產品即將上線AppStore開啟公測。PoPP將作為集成式的創作者社區工具，以及一站式的內容沉淀應用，用Web3和AI技術承載社區。（Coinspeaker）[2023/5/26 10:41:01]

分別吧代碼復制到兩邊，開始diff

這里我保存了diff結果，可以直接點這個link：https://www.diffchecker.com/VqaCP3DK

像結果中字符串（名稱等）的修改，或者// 后的內容（注釋）都可以忽略

鏈游發行商Ex Populus獲得300萬美元種子輪融資，Animoca Brands領投:10月28日消息，鏈游發行商Ex Populus今日宣布以超額認購獲得300萬美元種子輪融資，Animoca Brands領投，CMS、Enjin、Infinity Ventures、Evernew、Polybius Capital、Decision Tree Ventures、Outlier Ventures和Zipmex參投。

Ex Populus是一個出版平臺和娛樂品牌，通過與獨立開發者在Web3內容上的緊密合作，其發行模式不僅能夠以創新方式為游戲創收，而且還能夠將玩家與豐富且可擴展的工具組合聯系起來。新融資將幫助Ex Populus繼續成長和擴展一個動態游戲社區和生態系統，并在此過程中幫助構建元宇宙。Ex Populus的第一款游戲是“LAMO”，該游戲融合了快節奏射擊題材和基于區塊鏈的收集功能，可玩游戲角色來自娛樂和流行文化中的主角。（Business Wire）[2021/10/28 6:17:58]

如上圖這種，可以忽略

PopChain將在明天上市Bithumb:PopChain的代幣持有者只有20人，其中持有率第一的人持有76%，持有率第二的人持有15%，這二者加起來擁有超過90%的代幣。而PopChain截止目前沒上線其他交易所，導致現在行業內存在一種敏感氣氛，Bithumb也因此失去了一些人的信任。PopChain是以區塊鏈技術為底層驅動的開源公有鏈。[2018/5/16]

如果是原版添加的代碼，土狗刪除的，一般也不重要，重點是土狗和原版代碼不同的地方：

上圖為關鍵差異，土狗修改了原版的migrator方法，還增加了個一個叫做preUpgrade的函數。

看到這里，如果你對合約一無所知，安全期間，就可以直接關閉頁面保平安了。

這里簡單分析一下差異，首先migrate方法，這個是sushiswap繼承的代碼，原版代碼就有將池子里錢掏空的可能性（所以土狗如果有migrate方法，求穩就不要去玩）。

popcorn這里，新的preUpgrade方法，是public的，代表所有人都能調用，就是一個非常可疑的點，理論上在migrator設置為惡意地址的時候能夠讓migrator掏空所有的錢。

第二步：檢查變量

點擊土狗合約的這個按鈕：

檢查migrator，owner等變量：（owner是核心）

可以看到migrator是0，owner是一個timelock地址，土狗的一種套路是，聲稱自己有timelock，給出了合約地址，但owner并不是timelock的地址，那明顯就是騙局了。

當然timelock合約，也可以做小動作，所以也需要做diff操作，這里他的timelock沒有問題，就不贅述了

那么完成了上面兩步，很多資深礦工可能會覺得，timelock有的，合約變量沒問題，雖然有代碼存在風險，但是有timelock啊，沒事，沖tmd，對低級土狗而言，可能確實就無風險了，但很可惜，popcornswap是一個略高級的土狗。看我下面分解盜幣過程：

項目方通過調用：

https://bscscan.com/tx/0x38f75296e3343228c0309f8c99a24ca4f4812372f2b032f38ce25ac5a992b768

preUpgrade方法，讓自己的地址有了合約里token的transferFrom權限（簡單理解為uniswap交易之前你需要allow合約花你的幣，這里是allow自己花合約里的幣）

看前面的代碼可以發現，preUpgrade確實又這個功能，但他只會給migrator這個權限，而migrator又是0，修改migrator需要經過時間鎖，那么他是怎么做到的呢？（這個問題其實也困擾了我一會）

答案是：項目方在部署合約后，加timelock之前，把migrator改成了自己的地址，并通過preUpgrade提前獲取了里面所有token的allowance，然后再改回migrator，添加時間鎖。

因為這些tx混在項目方添加池子的tx中，普通人根本不可能去檢查一個池子之前的每一個tx，所以popcornswap得以在2小時內盜取2mil的代幣。

這個作案手法也引起了我的思考，目前并沒有有效的工具，能夠查出一個合約地址里，token allow給其他地址的情況，因此非常難發現問題。普通的用戶，沒有能力，也不太可能發現這個端倪，甚至我相信在本次事件中，一些對合約代碼有所了解的土礦老司機也一并翻車。

那么popcornswap的解析就講到哪里，下面是我個人的一些思考，以及私貨（不愿意看的朋友就可以關閉文章了）

本次作案手法曝光之后，相信未來的土礦也很有可能利用類似的手法進行盜幣，而對普通用戶而言防不勝防，事實上最近2天bsc上就有2個礦翻車，金額還都不小。

作為交易所公鏈，不管是bsc，還是heco，他們的核心競爭力是什么？是去中心化嗎？

我個人認為不是的。

bsc，heco等，他們最大的優勢應該是1. 低手續費 2. 交易所公信力背書

以bsc為例，作為一個類似DPos的設計公鏈，跨鏈橋非去中心化，以及上面的大部分資產都是幣安發放的情況下，即使代碼開源，談何去中心化？

個人認為，反而應該反其道行之，引入類似EOS的仲裁機制，最大程度的保證用戶在鏈上的的財產安全才是生存之道。

本次popcornswap事件以及最新翻車的土礦，幣安目前都還在踢皮球階段，要求用戶去報案或者說我們在監視黑客地址等等，而不是想辦法幫用戶挽回損失，長此以往，當土礦跑路越來越多的情況下，請問幣安，誰還會去用BSC？

如果類似事件在Heco或者其他交易所公鏈發生，而他們擁有類似的安全機制，保證了用戶的資產安全，這樣大部分散戶才敢放心的在上面繼續使用，畢竟，你作為交易所背書的公鏈，優勢不是，也不可能會是去中心化。

希望所有交易所公鏈技術團隊三思，通過代碼升級保證自己公鏈的安全性來差異化競爭，也許還不太晚。

原標題：Popcornswap合約解析+教你如何避免大部分土礦風險

作者：iNexusPro

Tags：POPOPCRATTORPOP價格opc幣跑路rating幣最新tourstorageserver

火星幣