UNI:DeFi安全篇：合約留后門，無腦授權有風險｜烤仔星選_Defina Finance

很多用戶在參與DeFi流動性挖礦的過程中，需要授權合約，但大家可能有所不知，如果你不小心授權了某些不靠譜的合約，錢包里的幣就危險了。

之前就有人在Twitter上討論過授權合約被釣魚的案例，因不小心授權某些開了后門的合約，有人一夜之間被盜走價值14萬美金的UNI。這個故事的主人公名叫JhonDoe，去年九月，他參與了Unicats收益農場，當時他對這個項目還蠻看好的，覺得它可能會成為下一個YFI。

接下來，Jhon打算質押UNI，然后收到了MetaMask錢包的提示，“需要授權合約無限使用UNI”。授權是在DeFi挖礦中是很常見的一個操作，所以他就沒細看。

DeFi平臺Balanced發布四月路線圖：將在主網上激活持續獎勵:4月8日消息，據官方消息，DeFi平臺Balanced發布四月路線圖，主要目標包括：完成Balanced前端的多語言支持；將所有剩余的Java合約部署到主網；在主網上激活持續獎勵；將協議擁有的流動性合約部署到主網（因疫情延遲）；為Trade頁面發布高級TradingView功能；部署多調用智能合約，與Balanced前端集成；繼續開發一個新的Balanced網站登錄頁面。[2022/4/8 14:11:38]

質押UNI之后，挖出來一些MEOW，他覺得賺的差不多了，可以收菜收工了，就把資金都撤回了自己的錢包。撤走資金以后，Jhon以為錢都放在自己錢包里就可以高枕無憂了。殊不知，這個合約留了后門，一旦他授權了這個合約使用自己的token，即使他從挖礦池子中撤走資金，這個合約任何時候都能調用他的token。第二天醒來以后，Jhon發現自己一半的UNI都在未通過自己授權和簽署交易的情況下被轉走了。Jhon一下子就懵了，他錢包的私鑰從沒有泄露過，錢包也沒有漏洞，自己并沒有操作過轉賬，錢好好放在錢包里還能被轉走？排除了種種因素，推測出最有可能導致丟幣的原因是：以太坊網絡上最流行的token使用的ERC20標準設計中的一個已知但經常被忽略的漏洞。這個UniCats是個什么項目？為什么就能輕輕松松盜走別人錢包里的幣？這讓以后我們DeFi挖礦還敢挖嗎？“小貓釣魚”

多鏈DeFi平臺Rubic集成Raydium，允許用戶在Solana網絡完成鏈上交換:官方消息，多鏈DeFi平臺Rubic集成Raydium，允許用戶在Solana網絡完成鏈上交換。此外，Rubic還完成了Phantom和Solflare錢包與Rubic生態系統的集成。[2021/12/18 7:47:02]

UniCats是一個類似Yam和Sushiswap的DeFi衍生品項目，抄襲抄的赤裸裸的，連前端界面都和Sushiswap完全一樣，除了可以挖平臺代幣MEOW之外，還可以挖UNI等其它代幣，在2池中還可以質押UNIOW和UNI的LP代獲得MEOW代幣。為什么這個項目會選擇UNI呢，因為當時Uniswap發幣，很多Uniswap的老用戶都免費領到了一堆UNI空投，大家不用專門買UNI，會有比較低的參與門檻。JhonDoe是參加這個協議的用戶之一，當時DeFi的fomo情緒很濃，很多人都說“審計是為新手準備的”，所以進了這個坑也很難怪他。JHON先后在UniCats合約中質押了兩筆UNI，價值分別為$17K、$15K，質押的操作要求他準許UniCat合約對錢包里UNI代幣的無限制訪問。可能是因為Jhon看到大家都這么做，每個人都要一開始點擊授權合約，所以沒有對此有任何疑慮。一開始還挺好的，收成不錯，賺了一些MEOW。耕種一天之后，Jhon開始從Unicats合約中解押自己的UNI。鏈上記錄：https://etherscan.io/tx/0xaf90d9ff2e9dc63ef6c6082a18214f991cc52493b0cc5c47d84590faac798f42https://etherscan.io/tx/0x751ae0fba597496f057426672fb736efdc837aa0860f1d626b4e7dd6e9052c80收獲頗豐，又入袋為安，是一次很成功的經歷，他就放心地睡覺去了。之后的事情，我們在上文也提到了。之后項目方表示：“出了bug”、“被黑客入侵”、“項目方非常努力”...換句話說就是，他們希望這個項目有成功的未來，現在正在“把這個美好的項目留給社區”，然后就卷款刪號跑路了。除了Jhon還有一些用戶也被坑了，甚至有的人還沒來得及撤出資金。

DeFi信貸協議和無抵押貸款平臺TrueFi新增支持USDT:6月21日消息，DeFi信貸協議和無抵押貸款平臺TrueFi通過社區投票通過對USDT的支持，USDT池的推出是TrueFi針對多資產借貸的V3協議升級的一部分。TrueFi是一個DeFi信貸協議和無抵押貸款平臺，其最新的V3版本引入了DeFi信用模型。

目前平臺鎖倉價值逾2.82億美元，其中TUSD池鎖倉價值達6828萬美元，USDC池鎖倉價值達9852萬美元，新上線4天的USDT池已鎖倉8724萬美元。于此同時，超過1.15億TRU（超過30%的總流通供應量）被質押在協議上，為貸款人提供部分違約保護。[2021/6/21 23:54:03]

開發人員跑路前在Tg群發的消息貪婪的“貓”

UniCats合約的有一個功能：setGovernance，有人讀的未經審核合同可能掠過這部分，因為它是相當流行的有智能的管理重點和管理地址合同。

DeFi 概念板塊今日平均漲幅為1.51%:金色財經行情顯示，DeFi 概念板塊今日平均漲幅為1.51%。47個幣種中27個上漲，20個下跌，其中領漲幣種為：UMA(+16.99%)、BZRX(+13.94%)、BAL(+10.56%)。領跌幣種為：HDAO(-6.37%)、AST(-6.16%)、MKR(-4.67%)。[2021/3/9 18:27:10]

setGovernance是開發者Whiskers用來直接從用戶帳戶中提取資金的功能。函數接收兩個參數：一個地址、一些數據，需要將_governance設置為UNItoken地址，并為數據傳遞函數transferFrom，然后會觸發UNI合約，要求它代表用戶將資金轉移到UniCats合約。實際上，transferFrom的調用者是UniCats合約，像剛才我們提到的Jhon，他已經批準合約隨意使用自己所有的UNI資產，合約會將Jhon的UNI資產轉移到合約中相同的trasnferFrom，然后從他的錢包中盜取資金。當UNI合約收到此項調用時，會嘗試這項請求不會遇到任何錯誤。所有的轉賬都會通過，因為Jhon確實授權了合約來處理他的資金。資金從Jhon的帳戶中轉到UniCats合約中，然后再轉給Whisker。所以關鍵點就在于Jhon對UniCats合約的授權。除了Jhon之外，這個詐騙合約也有其他一些受害者，比如另一位用戶也是通過完全相同的過程損失了1萬個的UNI，他質押在UniCats中的資金全被刪除了，根本無法提現。

DeFi 聚合收益協議 YFII 社區發起與 FinNexus 合作提案:DeFi 聚合收益協議 DFI.Money （YFII）社區發起與 去中心化衍生品協議 FinNexus Protocol （FNX）合作提案。提案指出，雙方計劃共同成立基金研究并支持更豐富的鏈上投資策略。在產品方面，通過機槍池和期權產品的合作，補充 YFII 和 FNX 雙方社區用戶的投資策略。同時 FinNexus 為 YFII 提供期權產品策略支持，共同為社區用戶提供期權組合的無損挖礦，收益增強等產品。[2020/11/25 22:08:04]

有一個信息大家需要知道，即使你地址余額為0，這個無限批準的風險都還在，也就是說UniCats隨時都能把你的錢拿走。只要你沒有撤消批準，或者這個賬戶/地址之后完全廢棄再也不用了，就會隨時會被攻擊。在盜取了用戶的資金之后，UniCats項目方將UNI換成ETH，然后將ETH被轉移到Whiskers控制的帳戶中，接著又以每次100ETH的方式存入TornadoCash。練習釣魚

在UniCats項目方發起攻擊之前，Whiskers還做過一些鏈上的練習，創建了一個單獨的合約和管理員帳戶，以確保黑客攻擊能夠正常工作。在此交易中，Whiskers嘗試使用相同的setGovernance調用，直接從合約中提走少量UNI，從合約中獲取2.75UNI。這個是第一階段，UniCats合同本身的資金被耗盡。后來，該帳戶執行另一種轉賬練習，它濫用了baDAPProve漏洞，由Tornado現金資助的帳戶將少額UNI直接轉換為ETH。這些練習運行了幾個小時之后，才發起了正式的攻擊。正式攻擊的方式和練習的方式基本上是差不多的，都是分兩個階段。練習攻擊的記錄：https://etherscan.io/address/0xcdd37ada79f589c15bd4f8fd2083dc88e34a2af2回顧曾經與Unicats進行過互動但尚未拒絕UniCats使用其令牌的每個帳戶，在它們這樣做之前都仍然很脆弱。即使是那些只批準了令牌但從未實際發送過任何資金的人。在直接抽走UniComp合約的同時，whiskers能夠在Uniswap、SushiSwap和Balancer上獲取17KUNI以及押注LP代幣的UNI/ETH。。在第二階段，使用baDAPProve漏洞，Whiskers總共撈了6萬UNI。這些錢是從大概30個賬戶中取出來的，損失最大的是JhonDoe，總共損失了37KUNI，當時價值約12萬美元。從他們賬戶中拿走的資產比他們原本在協議中質押要多，因為Jhon的UNI并不是全部質押進合約中挖礦了。每一個曾經和Unicats交互過，并且授權UniCats使用自己代幣的賬戶都隨時有被攻擊的風險，哪怕僅僅只是授權過但從沒有轉過資金。你可能會覺得這個故事中的JhonDoe很笨，但其實他在DeFi領域還挺有經驗的，他的地址有超過1600筆交易。這是一場很“完美”的攻擊，需要無限使用的授權，很少有人真正了解其中的含義。在大環境的fomo情緒下，每一個投資者都夢想暴富，渴望自己找到下一個YFI，黑客就是從中利用了這些因素以及這些系統經常試圖隱藏的復雜性達到目的。如何保護自己免受攻擊

我建議，參與DeFi時，只授權可信任的合約，如果是去體驗新項目，用的資金要控制在自己能承受的最大損失之內，以將風險最小化。這次攻擊的根源在于ERC20的工作方式以及它的一些限制，這個限制僅存在于ERC20協議中，其它的協議標準還沒有這個問題，但是由于ERC20仍然是最受歡迎的token標準，所以大家有必要了解一些策略來避坑：首次與未知的DeFi合約交互時，要先做研究。諸如MetaMask這樣的錢包有一個功能是，可以自己設置最大批準的金額。如果你不完全信任一個DeFi合約時，就可以提前進行設置，把風險控制在自己能夠承擔的范圍之內。

如果你已經授權了一些DeFi合約，而且有一些顧慮，不太確定會不會有風險，就可以用工具撤銷授權，我給大家介紹幾個工具：https://approved.zonehttps://revoke.cashhttps://tac.dappstar.io/#/未來DeFi和ERC20都會繼續發展壯大，建議大家好好學習，了解清楚這些復雜的金融系統，保護好自己的錢袋子，注意安全！Reference：zengo.com

Tags：UNIEFIDEFDEFIuni幣價格預測DeFiDropDefina FinanceNRGY Defi

瑞波幣