时值国庆大假期间,加密钱包初创公司ZenGo的研究员亚历克斯·马努斯金爆料称,有用户一夜之间损失了价值14万美元的Uniswap代币UNI,而这与名为UniCats的“收益农场”有关。据了解,一些参与DeFi提供流动性挖矿赚取收益的用户最近发现了UniCats这个新农场。从界面来看,UniCats类似YamFinance和SushiSwap;收益方面,不仅可挖矿本地MEOW代币,同时还可挖出包括UNI在内的其它代币。界面友好,产能不赖,资产入场。当用户准备提供流动性时,UniCats弹出提示框,要求获取消费限制许可,而该许可的限制是:无限。用户可能怎么也不会想到,在这个无限消费的许可的背后,UniCats开发者早已暗置了一个直通自家资产的“后门”。用户的资产可由此被悄悄转移至开发者指定的地址。就这样,有大胆且不幸的“农夫”瞬间被窃取了价值14万美元的UNI,而其他用户也有不同程度的损失。盗窃“现场”
研究:欧盟MiCA法案没有充分考虑到加密行业细分领域的细微差别:金色财经报道,一项研究发现,MiCA没有充分考虑不同DeFi协议的细微差别,此外,它完全忽略了质押、借贷和NFT。随着欧盟向前推进并正式签署其加密资产市场(MiCA)政策包成为法律,立法者也花时间考虑可能缺乏监管的领域。在欧洲议会委托进行的一项研究中,法律和金融专家指出,MiCA在加密监管方面留下了一些空白,特别是在涉及代币分类、质押和NFT等领域时。该研究由来自国际大学的四位法律和金融学教授撰写。作者写道,MiCA没有充分考虑DeFi协议及其各自的去中心化水平之间的细微差别。[2023/6/2 11:53:39]
那么,UniCats开的这个“后门”,又是如何对用户进行窃金操作的呢?1、盗窃者首先将UniCats的owner权限转移给一个合约地址。2、盗窃者通过获得owner权限的合约地址调用UniCats的setGovernance方法。3、setGovernance函数调用对于代币的transferFrom函数,将用户资产转移到盗窃者地址。第2、3步为此次盗窃的核心步骤,如下图所示:
CMS Strapi存在可接管Admin账号权限等漏洞:4月23日消息,慢雾研究员IM_23pds发推表示,开源无头CMS Strapi发布安全提醒,攻击者可以利用已知漏洞接管Admin账户或RCE接管服务器权限。虚拟货币行业有大量项目方使用此产品,请立即升级。[2023/4/23 14:21:18]
“后门”分析
UniCats合约中的setGovernance函数是实现盗窃的关键。通过调用此函数,UniCats合约即可作为调用者,能够向任意合约发起任意调用。
比特币矿工已从基于Ordinals协议的NFT交易中赚取57.4万美元:金色财经报道,Dune Analytics数据显示,自12月中旬推出比特币网络NFT协议Ordinals推出以来,用户已将近74,000个NFT写入比特币区块链,迄今为止,比特币矿工累计获得574,000美元的BTC交易费用。这些NFT包括Bitcoin Punks和OnChainMonkey。[2023/2/14 12:06:12]
据上图所示,调用该方法可输入两个参数,即一个地址类型的“_governance”和一个bytes类型的“_setData”。而函数的governance.call(_setupData)其实是表示向参数“_governance”地址发起一笔交易,其calldata为参数“_setData”。如此一来,只要有权限调用这个方法,便可以借合约的身份发起任意交易。在进行代码编写时,其注释表示此函数是一个修改治理合约的函数,如下图所示:
Fuel Labs推出模块化执行层Fuel Beta-1测试网:9月9日消息,以太坊模块化执行层Fuel开发商Fuel Labs宣布推出面向开发人员的Fuel Beta-1测试网,开发人员可以随意向其部署合约,无需许可或白名单,用户也可以与已部署的合约进行交互。另外,任何人都可以使用水龙头获得一些测试ETH来部署合约或与合约交互。FuelLabs提醒称,Beta-1不是激励测试网,参与该网络将不会获得直接奖励。
Fuel 通过并行交易执行为以太坊提供可扩展性。本周, Fuel Labs宣布完成8000万美元融资,Blockchain Capital 和 Stratos Technologies 领投,Alameda Research、CoinFund、Bain Capital Crypto、TRGC、Maven 11 Capital、Blockwall、Spartan、Dialectic 和 ZMT 等参投。[2022/9/9 13:18:44]
事实上,根据成都链安的审计经验,修改治理合约通常并不需要调用call。而且,UniCats在对用户资产进行盗窃时,还刻意多次变换owner地址,如下图所示:
不仅如此,资产在转出后还立刻被流入混淆器,如下图所示:
如此操作,老练狠辣、一气呵成,因此基本可以断定,该项目就是一个彻头彻尾的局,为的就是钓鱼而上线。令人细思极恐的是,在本案例中盗窃者调用了transferFrom方法对用户的资产实施转账,这就使得即便存在于钱包的用户资产,也可能面临被盗的风险。由于在合约授权时发起的是无额度限制授权,因此,一旦授权许可通过,合约就有权转移用户所有的资产。成都链安郑重提醒,用户在进行合约授权时,使用多少,授权多少。这样操作的话,即便不幸遭遇类似欺诈性质的合约,也不会殃及钱包中的本金。如果用户不太清楚自己的授权情况,可以通过以下工具进行查询。1、https://approved.zone2、https://revoke.cash3、https://tac.dappstar.io/#/小结
于DeFi领域,用户获得新币的门槛大大降低,通过组合资产投资的确可能在短期内实现大规模的增值收益。但是,用户资产可能面临的风险状况就变得更为复杂,在这点上必须引起高度注意。在DeFi这个“黑暗森林”,大胆冒险是禁忌一般的行为。用户资产不仅要受到客观行情波动的影响,质押时是否遭受“清算”也无法预知,而合约中的人为陷阱更是无处不在。尤其是,不少DeFi项目都存在代理转账的逻辑,多数项目方也会直接要求用户授权最大值。也就是说,用户授权后,某些不良合约将利用留“后门”的手段,反噬用户所持的全部资产。因此,对于用户而言,来自合约的一切许可请求都要格外注意,宁理性退场,不冒然入坑,时刻警惕恶意项目方的此类“后门”陷阱。
MEME和WHALE等将DeFi流动性挖矿和NFT结合,让略显颓势的市场突然火热,似乎DeFi挖矿热度的接力棒传到了NFT手中.
在美国SEC明确把通证分为工具型通证和证券型通证之后,在2018年时,美国市场中就开始出现技术平台提供将资产进行通证化的功能。这些平台如Polymath和Securitize等等.
编者按:本文来自深潮TechFlow,Odaily星球日报经授权转载。 今日,央视报道加密货币刷屏朋友圈.
编者按:本文来自巴比特资讯,作者:MathewDiSalvo,编译:Kyle,星球日报经授权发布.
上图是截图,本视频链接在文末NFT的风慢慢地吹了过来,我很喜欢NFT,因为我本人对收藏小物件很是喜欢。书桌上黄花梨外壳的签字笔,紫铜的指尖陀螺已经被我把玩儿出了漂亮的包浆.
编者按:本文来自Cointelegraph中文,作者:ANTóNIOMADEIRA,Odaily星球日报经授权转载。根据链上分析资源glassnode的数据,以太坊矿工的收入在9月份激增.