最近驚聞BSC上2個土礦又跑路了,金額在千萬級別,有一個礦朋友還中招了,實在是看不下去,和大家談談,如何避免大部分土礦的坑。
土礦一般來講,抽走資金一般這幾個步驟:
通過高APY吸引你沖動梭哈,畢竟高APY都是真金白銀支撐的,收益這么高大戶早來了,正所謂的收益越高,風險越大
通過一些“所謂的”安全措施讓你覺得風險很低
盜取資金之后馬上換為非erc代幣或者無法凍結的代幣,然后等待混幣機會逃走
看到了這個步驟,你應該明白了,如果能夠做到:
不開源的土礦一律不碰,不管他APY寫的多么誘人
開源的土礦,如果要參與,一定是在diff合約,檢查變量參數之后,少量資金參與。
那么相信你能規避大部分風險,下面簡單講一下怎么diff合約,怎么檢查參數,以及一些衍生的思考。
Electric Capital任命兩名新的普通合伙人:金色財經報道,加密風險投資公司Electric Capital已任命Ken Deeter和Maria Shen為新的普通合伙人。[2023/6/2 11:53:13]
第一步:diff
這里以在線對比工具?https://www.diffchecker.com/?為例
注意一點,diff的合約需要是你真實要轉幣進去的合約地址
首先拿到原版的MasterChef代碼:
https://bscscan.com/address/0x73feaa1ee314f8c655e354234017be2193c9e24e#code
接著這里以popcornswap為例:
https://bscscan.com/address/0x584527ded17aceb3dc617c40b04e8fe9afc57096#code
與多次網絡釣魚關聯的EOA地址0x63fD7已將60枚ETH轉至Tornado Cash:金色財經報道,據CertiK監測,與多次網絡釣魚關聯的EOA地址0x63fD7已將60枚ETH(約12.6萬美金)轉至Tornado Cash。[2023/4/15 14:05:30]
分別吧代碼復制到兩邊,開始diff
這里我保存了diff結果,可以直接點這個link:https://www.diffchecker.com/VqaCP3DK
像結果中字符串的修改,或者//后的內容都可以忽略
如上圖這種,可以忽略
如果是原版添加的代碼,土狗刪除的,一般也不重要,重點是土狗和原版代碼不同的地方:
上圖為關鍵差異,土狗修改了原版的migrator方法,還增加了個一個叫做preUpgrade的函數。
幣安宣布正在進行代幣的銷毀和釋放,首先將銷毀USDC:金色財經報道,幣安發布公告稱,為促進Binance-pegged代幣在其原始網絡提取,幣安將經歷一個銷毀和釋放的過程。首先,會銷毀與幣安掛鉤的USDC(BEP20),將USDC釋放到錢包中供用戶提現。幣安再次強調,與其掛鉤的代幣已100%抵押,并可驗證。[2023/2/15 12:07:41]
看到這里,如果你對合約一無所知,安全期間,就可以直接關閉頁面保平安了。
這里簡單分析一下差異,首先migrate方法,這個是sushiswap繼承的代碼,原版代碼就有將池子里錢掏空的可能性。
popcorn這里,新的preUpgrade方法,是public的,代表所有人都能調用,就是一個非常可疑的點,理論上在migrator設置為惡意地址的時候能夠讓migrator掏空所有的錢。
亞馬遜將在今年春天推出一項NFT計劃:金色財經報道,Blockworks援引四位熟悉該計劃的消息人士報道稱,亞馬遜正在計劃一項使用不可替代代幣的新計劃,該計劃可能會在春季推出。Blockworks 表示,這家科技巨頭有十幾個合作伙伴排隊參與該項目,該項目專注于游戲。一個例子可能涉及推動讓亞馬遜客戶玩加密游戲并領取免費 NFT。
據報道,這項工作仍在進行中,可能會在 4 月份啟動。兩位消息人士告訴 Blockworks,該平臺將由亞馬遜而非 AWS 或亞馬遜的子公司亞馬遜網絡服務運行。[2023/1/27 11:31:38]
第二步:檢查變量
點擊土狗合約的這個按鈕:
檢查migrator,owner等變量:
可以看到migrator是0,owner是一個timelock地址,土狗的一種套路是,聲稱自己有timelock,給出了合約地址,但owner并不是timelock的地址,那明顯就是騙局了。
“美聯儲傳聲筒”:美聯儲將于2月小幅加息:金色財經報道,“美聯儲傳聲筒”Nick?Timiraos撰文表示,美聯儲官員正準備連續第二次會議放慢加息速度,并就終端利率進行辯論。此前,他們對通脹今年將進一步緩解有了更多信心。在最近的公開講話和采訪中,美聯儲官員們表示,將加息速度放慢至更傳統的25個基點,將讓他們有更多時間來評估加息的影響,以便他們決定在哪里停止加息。(金十)[2023/1/23 11:26:21]
當然timelock合約,也可以做小動作,所以也需要做diff操作,這里他的timelock沒有問題,就不贅述了
那么完成了上面兩步,很多資深礦工可能會覺得,timelock有的,合約變量沒問題,雖然有代碼存在風險,但是有timelock啊,沒事,沖tmd,對低級土狗而言,可能確實就無風險了,但很可惜,popcornswap是一個略高級的土狗。看我下面分解盜幣過程:
項目方通過調用:
https://bscscan.com/tx/0x38f75296e3343228c0309f8c99a24ca4f4812372f2b032f38ce25ac5a992b768
preUpgrade方法,讓自己的地址有了合約里token的transferFrom權限
看前面的代碼可以發現,preUpgrade確實又這個功能,但他只會給migrator這個權限,而migrator又是0,修改migrator需要經過時間鎖,那么他是怎么做到的呢?
答案是:項目方在部署合約后,加timelock之前,把migrator改成了自己的地址,并通過preUpgrade提前獲取了里面所有token的allowance,然后再改回migrator,添加時間鎖。
因為這些tx混在項目方添加池子的tx中,普通人根本不可能去檢查一個池子之前的每一個tx,所以popcornswap得以在2小時內盜取2mil的代幣。
這個作案手法也引起了我的思考,目前并沒有有效的工具,能夠查出一個合約地址里,tokenallow給其他地址的情況,因此非常難發現問題。普通的用戶,沒有能力,也不太可能發現這個端倪,甚至我相信在本次事件中,一些對合約代碼有所了解的土礦老司機也一并翻車。
那么popcornswap的解析就講到哪里,下面是我個人的一些思考,以及私貨
后續思考
本次作案手法曝光之后,相信未來的土礦也很有可能利用類似的手法進行盜幣,而對普通用戶而言防不勝防,事實上最近2天bsc上就有2個礦翻車,金額還都不小。
作為交易所公鏈,不管是bsc,還是heco,他們的核心競爭力是什么?是去中心化嗎?
我個人認為不是的。
bsc,heco等,他們最大的優勢應該是1.低手續費2.交易所公信力背書
以bsc為例,作為一個類似DPos的設計公鏈,跨鏈橋非去中心化,以及上面的大部分資產都是幣安發放的情況下,即使代碼開源,談何去中心化?
個人認為,反而應該反其道行之,引入類似EOS的仲裁機制,最大程度的保證用戶在鏈上的的財產安全才是生存之道。
本次popcornswap事件以及最新翻車的土礦,幣安目前都還在踢皮球階段,要求用戶去報案或者說我們在監視黑客地址等等,而不是想辦法幫用戶挽回損失,長此以往,當土礦跑路越來越多的情況下,請問幣安,誰還會去用BSC?
如果類似事件在Heco或者其他交易所公鏈發生,而他們擁有類似的安全機制,保證了用戶的資產安全,這樣大部分散戶才敢放心的在上面繼續使用,畢竟,你作為交易所背書的公鏈,優勢不是,也不可能會是去中心化。
希望所有交易所公鏈技術團隊三思,通過代碼升級保證自己公鏈的安全性來差異化競爭,也許還不太晚。
原標題:Popcornswap合約解析+教你如何避免大部分土礦風險
作者:iNexusPro
來源:金色財經
Tags:TORRATLOCLOCKSEKTOR幣TRATBlockchaincryptobankblockchain什么意思中文翻譯
前言: ???曾經以為,擁有是不容易的,后來明白,舍棄才是更難的。所有讓你佩服的人,只是你的羨慕給平凡的他鍍了金身,金融市場,不少人能看穿你的逞強,但沒幾個人像我一樣愿意保護你的脆弱,時間游走,
1900/1/1 0:00:00隨著社會發展,科技進步,新事物取代舊事物勢在必行。智能手機必然要取代傳統手機,新能源汽車必然要取代燃油汽車一樣,這是人類社會的發展趨勢.
1900/1/1 0:00:00牛市行情波動太大,做單盡量擴大止損,策略僅供參考,不構成實際操作,網絡存在延時,具體操作以實盤為主,近期老師給出的策略,都能把握30-50美刀的利潤,由于客戶太多,不一一回復,vip投資者優先.
1900/1/1 0:00:002020年,是不平凡的一年,實體經濟低迷,幣圈卻極速發展,不少持有數字貨幣的圈友都收獲不少,隨著市場的快速發展,一場凍卡潮席卷幣圈,場外交易和幣圈交易者陷入深深的恐慌.
1900/1/1 0:00:00前言: ??????合約可以把握上漲,也可以把握下跌行情,來回拿利就是合約的優勢。我聽到很多朋友在高位追了漲,在低位的時候開了空,如果你也出現套單的情況,或者對后市不知道怎么操作,想走穩健路線的.
1900/1/1 0:00:00K線來回摩擦,就這樣了,震蕩而已。相信大家一定聽說過震蕩指標這個概念,KDJ和RSI就都屬于震蕩指標,震蕩指標就是圍繞一個中心線的上下波動,沒啥好說的.
1900/1/1 0:00:00