编者按:本文来自DCNews,作者:六六,Odaily星球日报经授权转载。经历了暴跌后,DeFi板块出现回暖,包括AAVE、YFI在内的诸多DeFi币种都呈现出上涨态势。拿AAVE来说,7天上涨超过120%。“配置DeFi币种”成为了投资者踏空后的心声。然而,就在此时,有用户王平向深链财经反映:自己想要投资DeFi币,却买了“只能买不能卖的假币”。顺着王平的故事,我们发现,DeFi领域的假币泛滥成灾。拿BitKeep来说,其涨幅榜前10的币种,近40%都是假币。假币的欺诈手法也花样百出,既有简单粗暴的冒名顶替,也有“只能买不能卖”的流氓机制,更有能够灵活控制“卖出权限”的代码设计。可以说,这些假币如同寄生在DeFi领域的吸血虫……程序员被假币坑
王平,程序员,被假币了。事情发生在一周前,王平在朋友的推荐下买了YFI创始人AndreCronje的新项目KP3R。170美元买入,300美元卖出,前前后后赚了10个以太坊。尝到甜头的王平打算再试一试。11月3日,在浏览BitKeep上的DeFi涨幅榜的时候,王平发现了几个表现不错的DeFi币种,抱着试一试的心态,选择了TRTC等几个币种投资。“我买了以后,就发现,大家都没卖,市场上只有TRTC的买盘,而没有卖盘。”当时王平天真地以为没有卖盘的原因是币价不断往上涨,大家都舍不得出货。因为从数据上来看确实是这样的——TRTC翻倍上涨的速度肉眼可见。自以为又压中宝的王平便和女朋友夸下海口,等到双十一当天出货,用赚来的钱买两部iPhone12。不过,事情并没有王平想象的那么美好,“当我要卖币的时候发现根本卖不掉,一直报错。”
一开始,王平以为是Gas不够,于是不断的增加Gas费,但依然卖不出去,王平感觉有点不对了。一时没有头绪的王平向自己的合约工程师朋友李刚求助。在打开了TRTC的合约地址后,李刚和王平发现,TRTC的开源代码中有这么一行代码:require(_from==owner||_to==owner||_from==UNI);
这段代码规定了,TRTC的卖单发起人只能来自于Owner,而这个Owner,自然也是TRTC项目的开发者。通过在以太坊浏览器上调取有关TRTC的数据,王平发现所有的卖单都由一个合约地址为0xac10Af40abc7C67129b8C256A8C71B896a37d799的玩家发出的。TRTC局的真正始作俑者,正是地址尾号为799的玩家。
“李哥,这件事情还有转机吗?”李刚笑了笑,没再说话。感觉自己被耍了的王平,咽不下这口气,11月4日,转手把买来的,无法卖出的136枚TRTC打给了尾号799。“自己就是写代码的,反而被另一个写代码的给了,钱是小事,但那种技不如人的感觉真的很不爽。”
为了一探究竟,王平顺藤摸瓜,发现这个合约地址尾号为799的玩家,堪称DeFi领域里的大盗。据不完全统计,过去一个月,尾号799的玩家一共发行了48个假币,平均每天1.6个,堪称“假币劳模”。BitKeep涨幅榜前十,40%是假币
由于当初受是因为信了BitKeep上的涨幅榜,所以在此之后,王平每天上班的第一件事情就是观察BitKeep涨幅榜。“观察了好几天,越观察,越吓人。”据王平描述,现如今,BitKeep涨幅榜上,排名前10的DeFi币种里,40%以上都是假币。
以今天15点的榜单为例,深链财经发现,排名第二的WELL,排名第三的KKS,以及排名第四的KPR4均是假币。BitWell官方因此发布声明表示目前WELL尚未进入链上流通,Uniswap上出现的WELL合约地址、价格、发行总量、上线时间等等均为虚假信息。尽管在WELL的合约代码中,并无锁死用户卖出通道的代码,但依然有开发者突然抽出流动性的风险。更巧的是,KPR4还是出自上文所说的尾号799之手。
在其合约代码中,我们同样发现了相似的代码。
排名第三的KKS,虽然不是出自尾号799之手,但在其合约代码中,我们同样发现了一模一样的代码。
“别看这段代码加了很多东西,但其实还是换汤不换药。”李刚表示。这个作者在代码中设立了一个确认转账的条件,也就是文中第二个红框里的require(ensure(_from,_to,_value));这段代码中的,from和to都直接关联到了第一个红框中的条件,即只能开发者自己或者Uniswap进行买卖。而后面的from==tradeAddressIIcanSale则表示,开发者能够给一些特定的地址开放买卖权限。“但没有那么简单。”因为所有的tradeAddress最终都是指向了Owner。此外,代码中的functioncondition(address_from,uint_value)规定了,用户要想卖出代币,一次所出售的数量必须处于开发者设立的卖出最小值和最大值之间。
可以说相比那些直接将卖出权限封死的假币项目,KKS是升级换代后的全新版本,能够灵活地把握“卖出权限”。据李刚分析,一来是因为市面上“只能买不能卖”的假币变多,BitKeep对项目会进行卖出测试,KKS的设计则刚好能够逃过BitKeep的审查。二来,用户被坑得多了,对于项目也会警惕,最开始开放卖出权限能够让一些用户放下戒备,等到币价拉升时,通过调整阈值,能够起到变相封死卖出通道的作用。“这些币甚至不能被称之为假币,应该被称之为币。”李刚表示。确实,通过代码里将投资者玩弄于鼓掌之间,连有技术基础的程序员都能被,更遑论那些不懂代码的普通投资者了。以TRTC为例,就在王平气将136枚代币送给开发者之前,竟然还有人花了22000美元买入了33555枚TRTC。一本万利的假币生意
从DeFi因为流动性挖矿火爆后,假币,或者说币就如影随形,如同寄生在DeFi领域的吸血虫。譬如紧跟着YFI和YFII出现的YFIII。当时,项目方称,用户只需要填写以太坊地址或者邀请新用户就可以获取YFIII,或者还可以1ETH=90YFII的比例众筹YFIII。其实空投只是局的一个障眼法,借用户之手来扩大宣传,子最主要的目的还是想吸引用户用以太坊去参与众筹。因为这种局第一次出现,很多用户又想拿到早期的筹码并获取高收益,自然而然就落入圈套。因此,在YFIII刚上线的短短一天内,子就将价值27万的ETH收入囊中。无独有偶,今年7月7日,去中心化的衍生品项目Opium在推特上警告用户,Uniswap上有一个名为Opium的欺诈性代币,以OPM的名义进行交易,但其实真正的Opium项目本身并没有原生代币。也就是在同一天,还有冒充DeFi协议dYdX的假币出现。目前,只要随手在BitKeep上查一个DeFi币种,很大概率能看到一个币种有好几个相同或相近的名字,这其中就有很多假币。之所以,DeFi领域假币盛行,是因为与以往ICO募资发币不同,在Uniswap发币不需要上币费,甚至没有认证和审核,只需要建立两个资金池,“人人皆可发币”。再加上,Uniswap上大多数项目的代码都是开源的,发假币变得极其简单。只要准备好一个谷歌浏览器,安装一个小狐狸Metamask钱包,准备好一点点以太坊,然后再抄一段已经开源的代码。整个准备工作就完成了。接下来只需要在在线合约发布网站http://remix.ethereum.org/上面将合约Folk上去,设置好代币名称、以太坊小数点精确度、添加代币,连接钱包、选择资金池、添加流动性。发币就完成了。整个发币过程前后也就几分钟的时间。发币之后,有组织的假币团队会一边做市拉升币价,一边进行社区喊单,吸引投机的散户进场。更佛系一些的假币方,甚至都不进行对外喊单宣传,仅仅通过拉升假币的价格,获得BitKeep等平台的收录,再利用BitKeep这一流量入口,完成不花费任何人力财力的宣传。几乎为零的成本,没有风险的高额的回报,一本万利的“商业模式”使得发假币的行为愈发猖獗。关于发假币还有一件更有趣的事情:9月份Uniswap给用户空投平台币,但讽刺的是,在这场史诗级空投中,获取最大收益的不是忠实的用户和流动性提供者,而是假币开发者们。因为有个别假币专业户通过发假币积累了很多与Uniswap产生过交互的以太坊地址,靠UNI空投赚得盆满钵满。以至于有玩家感慨,这个世界在默默奖励那些发假币的人。近段时间,随着DeFi回暖,DeFi币又成为投资者关注的焦点。未来,随着DeFi的进一步发展,用户量和资金量会越来越多。当然,更为隐秘高明的假币也会随之出现。不管对平台方来说,还是对用户来说都是一个挑战。目前,对于像BitKeep这样的平台方、流量入口而言,应该进一步强化对新项目的审查力度,力求尽最大可能将假币、币拒之门外。对于广大用户来说,在波澜起伏,局横生的加密货币领域,我们能做的,或许就是抑制贪欲,提高警惕了。毕竟,持有的假币卖不出去,即使有几十上百倍的涨幅,也终归是“镜花水月”。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。