就在刚刚,YFII通报了chick.finance合约代码的风险,不过其中提到的“用户充值的所有代币,开发者都有权限提取”这句话其实并不是完全准确的,因此在这里我们需要给大家做下更详细的描述:
该合约恶意代码的问题并不在于“开发者事发后能提取用户存在合约中的代币”,而在于对于任何给该合约授权了的用户,开发者都能把你钱包里的代币一扫而空,这正是比特派安全实验室在之前的那篇《以太坊Defi生态当前最大的安全隐患》一文中提到的“滥用合约授权问题”。
dYdX社区开启关于“V4采用与将DYDX迁移到dYdX链”提案投票:8月30日消息,Snapshot页面显示,dYdX社区正在对“V4采用与将DYDX迁移到dYdX链”提案进行投票,将于9月2日7:49结束,目前支持率为100%。该提案由加密做市商Wintermute向dYdX社区发起,提议包括:
1. 采用dYdX v4开源软件作为dYdX协议的下一版本;
2. 采用DYDX作为dYdX链的L1代币;
3. 采用dYdX基金会委托开发的智能合约,在以太坊和dYdX链之间建立DYDX的无许可自治单向跨链桥;
4. 建议dYdX链验证节点在dYdX链上分发DYDX时参考上述智能合约;
5. 在dYdX v3上,wethDYDX将与基于以太坊的DYDX具有相同的治理和应用功能。[2023/8/30 13:05:46]
恶意代码是如下这段:
Loopring启动关于添加LRC质押功能的投票:12月4日消息,以太坊Layer2协议Loopring已于12月3日启动关于添加LRC质押功能的投票。该提案建议未来将协议收入的45%分配给符合条件的流动性提供者、45%分配给质押LRC的用户、10%分配给DAO。[2022/12/4 21:21:29]
functionstartReward(address_from,uint256amount)externalpub1ic{
“SEC诉Ripple”案进展:SEC关于额外发现的立场将于4月15日提交:4月9日消息,美国前联邦检察官James K. Filan发布关于美国SEC诉Ripple一案的相关进展称,现在,被告个人的回答已经提交,SEC关于额外发现的立场将于2022年4月15日提交,联合提议调度令将于2022年4月22日提交。
此外,我们还在等待SEC的部分重新审议动议、被告撤销补充专家报告的动议、被告强迫交出Estabrook笔记的动议,以及SEC的修订提议的决定。[2022/4/9 14:14:27]
????weth.safeTransferFrom(_from,owner(),amount);
??}
开发者对故意拼写错误的pub1ic做了如下约束
modifierpub1ic(){
????require(isOwner(),"Ownable:callerisnottheowner");
????_;
??}
上述代码的逻辑很简单,干的就是那些给这个合约授权了的用户,合约Owner都能把你的代币转给Owner,就这么简单。
这其实是DeFi生态里非常严重的恶性事件,理应引起全行业的重视,因为这次可能恶意开发者只是用拼写错误的方式来试图蒙大家,然后很幸运的第一时间被发现了,那下次呢?是不是可以写出逻辑复杂并且很难被看出来的漏洞,静静的等待上线把各位的钱包一扫而空呢?要再次强调的是,这个例子中,您损失的可不仅仅是您存入合约的资产,而是你钱包里的全部资产,明白了吗?
我们之前在向全行业提出“滥用合约授权”问题的时候,就曾预计到可能会有开发者作恶的情况出现,没想到这一天来的这么快,这次代码伪装的比较蠢,那下次呢?下次DeFi矿工们是否还能躲得过去了呢
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。