就在刚刚,YFII通报了chick.finance合约代码的风险,不过其中提到的“用户充值的所有代币,开发者都有权限提取”这句话其实并不是完全准确的,因此在这里我们需要给大家做下更详细的描述:
该合约恶意代码的问题并不在于“开发者事发后能提取用户存在合约中的代币”,而在于对于任何给该合约授权了的用户,开发者都能把你钱包里的代币一扫而空,这正是比特派安全实验室在之前的那篇《以太坊Defi生态当前最大的安全隐患》一文中提到的“滥用合约授权问题”。
dYdX关于“从LP奖励转向做市商返利”的提案已通过,做市商返利增长为0.85bps:7月24日消息,据Snapshot投票页面显示,dYdX关于“从LP奖励转向做市商返利”的提案已通过,该提案提议将做市商返利由0.5bps提升为0.85bps,将LP奖励减少50%,由1150685 DYDX/epoch降为575342.5DYDX/epoch,LP削减部分将进入奖励金库,通过DAO投票分配。预计这一减少将导致交易所流动性改善,达到或接近账面顶部;对于LP来说,经济上大致是中性的;它将显著减少每月DYDX释放。目前提案已通过,减少LP奖励需要在短时间锁内进行链上投票。[2023/7/24 15:54:51]
恶意代码是如下这段:
印度财政部长:关于加密法案的内阁文件已准备就绪:印度财政部长NirmalaSitharaman在谈及“2021年加密货币和官方数字货币监管法案”进展时表示,财政部为此做了许多工作,并听取了利益相关方的意见。Sitharaman称:“内阁文件已准备就绪。但我们必须等待内阁讨论并考虑这一法案,以便我们可以采取下一步行动。”她还暗示,如果该法案在议会获得通过,可能会有试点项目。尽管Sitharaman没有提及关于加密货币的明确立场,但加密货币行业可能最终会期待并希望参与讨论。(AMBCrypto)[2021/7/6 0:30:02]
functionstartReward(address_from,uint256amount)externalpub1ic{
关于假冒BiKi平台微信公众号的提示与声明:据官方消息,近日,随着BiKi平台业务的广泛开展,发现微信平台上有多个冒充我平台微信公众号进行信息发布的账号。为保护用户利益,维护本平台的品牌权益,特此声明:
BiKi平台未开通微信公众号,任何自称BiKi平台、BiKi官网认证以及近似的公众号名称及其行为均与BiKi平台无关,敬请用户注意区分并自行判断其宣发信息,以免给自己带来不便。[2020/9/7]
????weth.safeTransferFrom(_from,owner(),amount);
??}
开发者对故意拼写错误的pub1ic做了如下约束
modifierpub1ic(){
????require(isOwner(),"Ownable:callerisnottheowner");
????_;
??}
上述代码的逻辑很简单,干的就是那些给这个合约授权了的用户,合约Owner都能把你的代币转给Owner,就这么简单。
这其实是DeFi生态里非常严重的恶性事件,理应引起全行业的重视,因为这次可能恶意开发者只是用拼写错误的方式来试图蒙大家,然后很幸运的第一时间被发现了,那下次呢?是不是可以写出逻辑复杂并且很难被看出来的漏洞,静静的等待上线把各位的钱包一扫而空呢?要再次强调的是,这个例子中,您损失的可不仅仅是您存入合约的资产,而是你钱包里的全部资产,明白了吗?
我们之前在向全行业提出“滥用合约授权”问题的时候,就曾预计到可能会有开发者作恶的情况出现,没想到这一天来的这么快,这次代码伪装的比较蠢,那下次呢?下次DeFi矿工们是否还能躲得过去了呢
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。