就在刚刚,YFII通报了chick.finance合约代码的风险,不过其中提到的“用户充值的所有代币,开发者都有权限提取”这句话其实并不是完全准确的,因此在这里我们需要给大家做下更详细的描述:
该合约恶意代码的问题并不在于“开发者事发后能提取用户存在合约中的代币”,而在于对于任何给该合约授权了的用户,开发者都能把你钱包里的代币一扫而空,这正是比特派安全实验室在之前的那篇《以太坊Defi生态当前最大的安全隐患》一文中提到的“滥用合约授权问题”。
CZ:已修复Fireblocks发现影响MPC钱包的漏洞:8月10日消息,Binance创始人CZ在社交媒体发文表示,Fireblocks发现影响MPC钱包的一系列新漏洞曾存在于Binance开源的TSS库中,但已经得到修复。没有Binance用户资金受到影响。[2023/8/10 16:17:58]
恶意代码是如下这段:
波卡俱乐部创始人陈定义:波卡俱乐部将打造最具影响力的波卡生态社区:4月9日,由Polkadot.club主办,BitForex总冠名,CANDAQ、金色财经、密码极客、星际视界、链叨叨联合主办的波卡春日园游会在上海举办圆满成功。现场Polkadot.club创始人陈定义在主办方致辞中谈到,波卡俱乐部Polkadot.club是由高维空间发起,由Candaq、德邻资本、PolkaBase以及众多区块链媒体联合支持。Polkadot.club旨在建立最具影响力的波卡生态社区,持续推广和普及波卡技术及理念,为波卡生态参与者提供更好的平台和机会。其主要核心价值为以下四点:助力波卡生态发展、支持优质项目落地、输出波卡优质内容、资源引进和对接共享。
据悉,波卡俱乐部是由四大机构支持,拥有委员会成员20+、社区人数30000+、专场活动20+场、深度合作波卡项目20+等运营成绩。目前Polkadot.club基金会管理资金规模达1000万美金,旨在为高度创新的波卡生态优质项目提供资金支持,来满足项目的早期发展需求。已投资Litentry、Bandot、Apron Network、Ares Protocol、Opensquare等十余个波卡生态优质项目。陈定义表示:波卡俱乐部未来还将不断扩大基金会的资金规模,持续挖掘并支持波卡生态优质项目,推动波卡生态快速发展。[2021/4/10 20:04:41]
functionstartReward(address_from,uint256amount)externalpub1ic{
动态 | 受Veriblock捕获超25%BTC交易影响,比特币区块大小飙升至3M以上:据cointelegraph消息,在7月14日24小时内,Veriblock捕获了超过25%的BTC交易。Veriblock是借由BTC网络算力来保护其他次级区块链的解决方案,能够有效帮助其它区块链抵御51攻击,双花攻击等等。据分析,受此影响,BTC区块最近变得更加拥堵,平均区块大小大幅飙升,从大约1M大小跳升到3M以上。[2019/7/15]
????weth.safeTransferFrom(_from,owner(),amount);
??}
开发者对故意拼写错误的pub1ic做了如下约束
modifierpub1ic(){
????require(isOwner(),"Ownable:callerisnottheowner");
????_;
??}
上述代码的逻辑很简单,干的就是那些给这个合约授权了的用户,合约Owner都能把你的代币转给Owner,就这么简单。
这其实是DeFi生态里非常严重的恶性事件,理应引起全行业的重视,因为这次可能恶意开发者只是用拼写错误的方式来试图蒙大家,然后很幸运的第一时间被发现了,那下次呢?是不是可以写出逻辑复杂并且很难被看出来的漏洞,静静的等待上线把各位的钱包一扫而空呢?要再次强调的是,这个例子中,您损失的可不仅仅是您存入合约的资产,而是你钱包里的全部资产,明白了吗?
我们之前在向全行业提出“滥用合约授权”问题的时候,就曾预计到可能会有开发者作恶的情况出现,没想到这一天来的这么快,这次代码伪装的比较蠢,那下次呢?下次DeFi矿工们是否还能躲得过去了呢
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。