时值国庆大假期间,加密钱包初创公司ZenGo的研究员亚历克斯·马努斯金爆料称,有用户一夜之间损失了价值14万美元的Uniswap代币UNI,而这与名为UniCats的“收益农场”有关。
据了解,一些参与DeFi提供流动性挖矿赚取收益的用户最近发现了UniCats这个新农场。从界面来看,UniCats类似YamFinance和SushiSwap;收益方面,不仅可挖矿本地MEOW代币,同时还可挖出包括UNI在内的其它代币。
界面友好,产能不赖,资产入场。
当用户准备提供流动性时,UniCats弹出提示框,要求获取消费限制许可,而该许可的限制是:无限。
中国工程院发布“荣泽区块链政务协同平台”应用案例:8月10日,中国工程院《中国区块链发展战略研究》项目发布“发现100个中国区块链创新应用”栏目之“荣泽区块链政务协同平台”应用案例。
荣泽区块链政务协同平台是基于国家六项标准要求、创新利用区块链技术研发的一款高安全、高性能、易集成的政务服务产品。(证券日报)[2021/8/11 1:48:15]
用户可能怎么也不会想到,在这个无限消费的许可的背后,UniCats开发者早已暗置了一个直通自家资产的“后门”。用户的资产可由此被悄悄转移至开发者指定的地址。
就这样,有大胆且不幸的“农夫”瞬间被窃取了价值14万美元的UNI,而其他用户也有不同程度的损失。
盗窃“现场”
雄安基于区块链的财政资金管理创新成果入选河北自贸试验区首批制度创新案例:目前,雄安自贸试验区在政府职能转变和金融创新领域,首创的基于区块链的财政资金管理、5G+金融、跨境融资+跨境租赁、创新经济社会管理权限下放模式等4项创新成果,已入选河北自贸试验区首批16项制度创新案例并予以公布推广。基于区块链的财政资金管理创新成果,通过加强区块链技术的研究与应用,建立区块链技术应用的雄安标准,搭建基于区块链技术的底层公共数据和区块链场景应用平台,实现了资金管理效率、资金安全管理、服务保障民生水平的提升,构建了基于区块链技术的建设资金管理新模式,提升了政府治理能力和服务水平。(河北新闻网)[2020/9/1]
那么,UniCats开的这个“后门”,又是如何对用户进行窃金操作的呢?
Telegram“搬砖套利”最新案例,三用户被834个ETH:据追币猎人CoinHunter报道,近三日有三名用户提交丢币事件反馈称遭受Telegram“搬砖套利”。不法分子假借“搬砖套利”的说辞,声称1个ETH可以兑换50-100(根据行情调整)个“HT”,从而引导三名用户将834个ETH转入者0xcf7eb5e、0x8e047fc开头的合约地址中,并返还给用户虚假“HT”从而取用户资产。据CoinHunter统计,“搬砖套利”局总额已超50000枚ETH,截至报道时局仍在持续运转。[2020/4/21]
1、盗窃者首先将UniCats的owner权限转移给一个合约地址。
2、盗窃者通过获得owner权限的合约地址调用UniCats的setGovernance方法。
动态 | 十大无币区块链应用案例分布在金融及政府应用等方面:据消息报道,在上海市科委、上海市经信委等主办的2018中国(上海)区块链技术创新峰会暨中国(上海)大数据产业创新峰会上,中国区块链应用研究中心理事长郭宇航介绍了十大无币区块链应用案例,主要是联盟链,分布在金融、政府应用与溯源三方面,其中大陆与香港分别占5个与2个。这十大无币区块链应用案例分别是金融:支付宝跨境汇款、香港区块链贸易融资平台、IBM汽车电子钱包、点融区块链供应链金融;政府应用:深圳区块链发票、爱沙尼亚数字身份、敏感数据审计平台、佛山“我是我”信用认证体系;溯源:食物优农业溯源、关爱链慈善项目应用。[2018/9/6]
3、setGovernance函数调用对于代币的transferFrom函数,将用户资产转移到盗窃者地址。
第2、3步为此次盗窃的核心步骤,如下图所示:
“后门”分析
UniCats合约中的setGovernance函数是实现盗窃的关键。通过调用此函数,UniCats合约即可作为调用者,能够向任意合约发起任意调用。
据上图所示,调用该方法可输入两个参数?,即一个地址类型的“_governance”和一个bytes类型的“_setData”。而函数的governance.call(_setupData)其实是表示向参数“_governance”地址发起一笔交易,其calldata为参数“_setData”。如此一来,只要有权限调用这个方法,便可以借合约的身份发起任意交易。
在进行代码编写时,其注释表示此函数是一个修改治理合约的函数,如下图所示:
事实上,根据成都链安的审计经验,修改治理合约通常并不需要调用call。而且,UniCats在对用户资产进行盗窃时,还刻意多次变换owner地址,如下图所示:
不仅如此,资产在转出后还立刻被流入混淆器,如下图所示:
如此操作,老练狠辣、一气呵成,因此基本可以断定,该项目就是一个彻头彻尾的局,为的就是钓鱼而上线。
令人细思极恐的是,在本案例中盗窃者调用了transferFrom方法对用户的资产实施转账,这就使得即便存在于钱包的用户资产,也可能面临被盗的风险。由于在合约授权时发起的是无额度限制授权,因此,一旦授权许可通过,合约就有权转移用户所有的资产。
成都链安郑重提醒,用户在进行合约授权时,使用多少,授权多少。这样操作的话,即便不幸遭遇类似欺诈性质的合约,也不会殃及钱包中的本金。如果用户不太清楚自己的授权情况,可以通过以下工具进行查询。
1、https://approved.zone
2、https://revoke.cash
3、https://tac.dappstar.io/#/
小结
于DeFi领域,用户获得新币的门槛大大降低,通过组合资产投资的确可能在短期内实现大规模的增值收益。但是,用户资产可能面临的风险状况就变得更为复杂,在这点上必须引起高度注意。
在DeFi这个“黑暗森林”,大胆冒险是禁忌一般的行为。用户资产不仅要受到客观行情波动的影响,质押时是否遭受“清算”也无法预知,而合约中的人为陷阱更是无处不在。
尤其是,不少DeFi项目都存在代理转账的逻辑,多数项目方也会直接要求用户授权最大值。也就是说,用户授权后,某些不良合约将利用留“后门”的手段,反噬用户所持的全部资产。
因此,对于用户而言,来自合约的一切许可请求都要格外注意,宁理性退场,不冒然入坑,时刻警惕恶意项目方的此类“后门”陷阱。
加密资本资产在今年第三季度经历了爆炸式增长,而激增的主要原因,是大量收益农耕项目所带来的高收益机会.
本文来源:中国社会科学报原题《中央银行数字货币研究初探》 作者:纪洋边文龙王鹏 近段时间以来,关于中国人民银行发行数字货币的消息引起了广泛关注.
DeFi市场爆发阶段,人们常常将项目的锁仓价值视作衡量项目和代币资产价值的重要指标。不过,随着这一市场降温,TVL指标似乎「失灵」了.
保守的比特币阵营(Bitcoiner)与进取的以太坊阵营(Etherean)之间的斗争是否也映射出了我们割裂的文化?我们怎样才能加入一场热闹的反传统火人节派对(burnerparty)? 最.
如今DeFi市场行情不好,人们开始对DeFi前景产生了动摇。前一阵DeFi极速狂飙,现在也该冷静一下了.
STA投资&发行指南:四大层面深度剖析数字化证券 本文由SecurityTokenGroup联合创始人HerwigKonings撰写.