智能鏈:幣安智能鏈多項目跑路 PopcornSwap 卷走 4 萬 BNB 交易所公鏈“尷尬”何解？_智能鏈幣ZNL

吳說作者|ColinWu

本期編輯|ColinWu

近日，多名流動性“礦工”對吳說區塊鏈表示，幣安智能鏈上又一個DeFi“土礦”popcornswap跑路，項目方卷走近48000個BNB，價值約215萬美金。數日內還有三個項目跑路。目前SharkYield跑路疑似帶走了6000個BNB。

幣安表示安全團隊在“連夜跟進”popcornswap項目，但并不一定能追回成功。幣安此前宣傳文章也表示追回是小概率事件，希望用戶務必謹慎投資，選擇優質的頭部項目參與。

此次popcornswap跑路事件出現兩個問題：

1、礦工反饋，幣安表示USDT、BUSD可以凍結，但BNB無法凍結，因此跑路項目開始大范圍使用BNB。

2、幣安曾經表示，未來幣安智能鏈社區會為部署上來的優質項目陸續提供審計服務，未來會有標示將審計與未審計完成的項目進行區分，以供用戶參考。但是直到目前，該審計標示沒有出現，可能是審計機構的昂貴費用與時長的阻礙。

幣安此前的反饋是，BSC是與以太坊一樣的公鏈，不應該為上面的項目負責。何一曾經表示：幣安智能鏈項目又不是幣安發的，以太坊上挖礦賠錢怎么不找V神索賠？

幣安智能鏈Chapel測試網將于9月13日進行Gibbs硬分叉升級:9月6日消息，據官方公告，BNB Chain宣布幣安智能鏈（BNB Smart Chain）Chapel測試網預計將在區塊高度22,800,220處進行名為Gibbs的預定硬分叉升級，預計升級時間為9月13日15:00左右。測試網上的驗證者和全節點操作者應在9月13日之前將其軟件版本切換到v1.1.13。

本次升級的最大改變是BSC上的BEP-153原生質押模塊，在此BEP之前，BNB持有者只能將其資產質押在BNB信標鏈上，而該模塊允許BNB持有者可以直接在BSC上進行質押。[2022/9/6 13:11:30]

但另一方面幣安又在宣傳幫助用戶追回資產。例如自動做市商的“土礦”項目WineSwap跑路，幣安安全團隊幫助用戶追回了損失資金的99.9%，共計超過34.4萬美元。幣安也表示，像這樣的追索往往需要耗費大量的人力物力，而往往這些追查的線索會中斷，能像這次追討成功可以說是萬里無一。

由此幣安就會陷入一個尷尬的境地：對于跑路項目究竟是管，還是不管？用戶也會對此有疑問，幣安究竟管不管？

BSC上項目的邏輯是，發展好的項目CZ會轉發推特，然后引起關注逐漸壯大。相較之下火幣生態鏈中心化程度更高，會列出報名項目，跑路情況較少。幣安智能鏈更多希望“不做裁判員”。

OneCash已在幣安智能鏈部署CNH穩定幣:據悉，OneCash 穩定幣 CNHC 已完成在 BSC 公鏈部署智能合約。此前 OneCash 已經基于TRON、ETH 發行了圓幣和HKC。

CNHC是 OneCash 發行的合規穩定幣。[2021/10/28 21:04:58]

這也可以理解，幣安智能鏈的國際化程度更高，對于習慣DAO社區文化的海外用戶而言，他們可能更能理解BSC的做法。海外社區非常警惕中心化的管理，因此幣安輕易凍結BNB資產，也可能給海外用戶帶來擔憂。哪怕是針對黑客行為凍結，也需要先有的要求。

火幣因為項目與用戶絕大多數是中國人，這也決定了他們必須選擇中心化的管控，據說火幣對于跑路項目有詳細的應急方案，幾個小項目也第一時間得到了處理。

對于幣安來說，BSC上跑路情況確實有日漸嚴重的傾向，依靠制度治理可能是唯一的選擇。但目前為止，我們還沒有看到幣安智能鏈制度上改進的動作。

參考幣安智能鏈的野望與尷尬：超越以太坊還是成為孫宇晨？

以下內容為iNexusPro獨家授權吳說區塊鏈發布，內容稍作編輯

土礦一般來講，抽走資金一般這幾個步驟：

1、通過高APY吸引你沖動梭哈，畢竟高APY都是真金白銀支撐的，收益這么高大戶早來了，正所謂的收益越高，風險越大。

CoinWind明天即將登陸幣安智能鏈:據官方消息，DeFi智能單幣挖礦金融平臺CoinWind將于2021年4月12日20:00（UTC+8）登陸幣安智能鏈BSC。 據了解，CoinWind是一個DeFi智能單幣挖礦金融平臺，通過合約自動將質押的幣種進行撮合配對，配合對沖無常損失策略，將用戶收益最大化，有效解決了用戶單幣種挖礦收益低、LP挖礦無常損失大等風險問題。

CoinWind復投策略可以將挖礦產生的收益投入到高收益率的項目，產生的新收益再次復投，這樣能夠提升收益資金的高效利用，同時減少了用戶人工復投的操作所帶來的資金(礦工費)和時間等方面的成本。[2021/4/12 20:08:50]

2、通過一些“所謂的”安全措施讓你覺得風險很低。

3、盜取資金之后馬上換為非erc代幣或者無法凍結的代幣，然后等待混幣機會逃走。

看到了這個步驟，你應該明白了，如果能夠做到：

1、不開源的土礦一律不碰，不管他APY寫得多么誘人

2、開源的土礦，如果要參與，一定是在diff合約，檢查變量參數之后，少量資金參與。

3、那么相信你能規避大部分風險，下面簡單講一下怎么diff合約，怎么檢查參數，以及一些衍生的思考。

微博大V：幣安智能鏈借貸平臺Venus有重大風險，建議有資產者盡快取出資產:今日，微博大V“超級比特幣”表示：“幣安智能鏈借貸平臺venus上，今天一個CAN的垃圾幣莫名被添加進去作為抵押物，然后有人瘋狂添加了價值10億刀的CAN幣，借走了2000?BTC和7000?ETH，上一次這么緊張是SBF把自己的FTX等等抵押到CREAM，借走了CREAM上大量的幣。這一次，人更匿名，幣更垃圾，金額更大，唯一的好處是目前幣還在bsc鏈上，真心覺得幣安應該早點把跨鏈橋炸了。據了解，Cannon是與加密錢包Swipe合作推出的跨鏈資產協議，由Ren分叉而來，并于今日剛剛結束公募。[2021/1/14 16:10:16]

第一步：diff

這里以在線對比工具https://www.diffchecker.com/為例

注意一點，diff的合約需要是你真實要轉幣進去的合約地址

首先拿到原版的MasterChef代碼：

https://bscscan.com/address/0x73feaa1ee314f8c655e354234017be2193c9e24e#code

接著這里以popcornswap為例：

Waves生態項目Gravity測試框架正在添加幣安智能鏈:10月20日消息，Waves生態項目Gravity測試框架正在添加幣安智能鏈。幣安智能鏈是幣安鏈的平行公鏈，可以通過Ankr創建智能合約和BNB staking。除了以太坊和Waves，幣安智能鏈將成為Gravity網絡新的主要目標公鏈。

在準備這次集成時，Waves生態項目Gravity團隊使用了Waves合作伙伴Ankr提供的一鍵式BSC節點部署解決方案。[2020/10/20]

https://bscscan.com/address/0x584527ded17aceb3dc617c40b04e8fe9afc57096#code

分別吧代碼復制到兩邊，開始diff

這里我保存了diff結果，可以直接點這個link：https://www.diffchecker.com/VqaCP3DK

像結果中字符串的修改，或者//后的內容都可以忽略

如上圖這種，可以忽略

如果是原版添加的代碼，土狗刪除的，一般也不重要，重點是土狗和原版代碼不同的地方：

上圖為關鍵差異，土狗修改了原版的migrator方法，還增加了個一個叫做preUpgrade的函數。

看到這里，如果你對合約一無所知，安全期間，就可以直接關閉頁面保平安了。

這里簡單分析一下差異，首先migrate方法，這個是sushiswap繼承的代碼，原版代碼就有將池子里錢掏空的可能性。

popcorn這里，新的preUpgrade方法，是public的，代表所有人都能調用，就是一個非常可疑的點，理論上在migrator設置為惡意地址的時候能夠讓migrator掏空所有的錢。

第二步：檢查變量

點擊土狗合約的這個按鈕：

檢查migrator，owner等變量：

可以看到migrator是0，owner是一個timelock地址，土狗的一種套路是，聲稱自己有timelock，給出了合約地址，但owner并不是timelock的地址，那明顯就是騙局了。

當然timelock合約，也可以做小動作，所以也需要做diff操作，這里他的timelock沒有問題，就不贅述了

那么完成了上面兩步，很多資深礦工可能會覺得，timelock有的，合約變量沒問題，雖然有代碼存在風險，但是有timelock啊，沒事，沖tmd，對低級土狗而言，可能確實就無風險了，但很可惜，popcornswap是一個略高級的土狗。看我下面分解盜幣過程：

項目方通過調用：

https://bscscan.com/tx/0x38f75296e3343228c0309f8c99a24ca4f4812372f2b032f38ce25ac5a992b768

preUpgrade方法，讓自己的地址有了合約里token的transferFrom權限

看前面的代碼可以發現，preUpgrade確實又這個功能，但他只會給migrator這個權限，而migrator又是0，修改migrator需要經過時間鎖，那么他是怎么做到的呢？

答案是：項目方在部署合約后，加timelock之前，把migrator改成了自己的地址，并通過preUpgrade提前獲取了里面所有token的allowance，然后再改回migrator，添加時間鎖。

因為這些tx混在項目方添加池子的tx中，普通人根本不可能去檢查一個池子之前的每一個tx，所以popcornswap得以在2小時內盜取2mil的代幣。

這個作案手法也引起了我的思考，目前并沒有有效的工具，能夠查出一個合約地址里，tokenallow給其他地址的情況，因此非常難發現問題。普通的用戶，沒有能力，也不太可能發現這個端倪，甚至我相信在本次事件中，一些對合約代碼有所了解的土礦老司機也一并翻車。

后續思考

本次作案手法曝光之后，相信未來的土礦也很有可能利用類似的手法進行盜幣，而對普通用戶而言防不勝防，事實上最近2天bsc上就有2個礦翻車，金額還都不小。

作為交易所公鏈，不管是bsc，還是heco，他們的核心競爭力是什么？是去中心化嗎？

我個人認為不是的。

bsc，heco等，他們最大的優勢應該是1.低手續費2.交易所公信力背書。

以bsc為例，作為一個類似DPos的設計公鏈，跨鏈橋非去中心化，以及上面的大部分資產都是幣安發放的情況下，即使代碼開源，談何去中心化？

個人認為，反而應該反其道行之，引入類似EOS的仲裁機制，最大程度的保證用戶在鏈上的的財產安全才是生存之道。

歡迎閱讀吳說報道精選：主流交易所獨家動態、比特大陸系列、監管與凍卡系列、Filecoin系列、幣圈亂象揭弊、礦場監管動態等

風險提示

▼▼▼

根據銀保監會等五部門發布的《關于防范以“虛擬貨幣”“區塊鏈”名義進行非法集資的風險提示》，請大家樹立正確的投資理念，本文內容報道不對任何經營與投資活動推廣進行背書，請投資者提高風險防范意識。_轉載請注明來源，否則將追究法律責任。_

免責聲明：作為區塊鏈信息平臺，本站所發布文章僅代表作者個人觀點，與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考，并非作為或被視為實際投資建議。

本文來源于非小號媒體平臺：

吳說區塊鏈real

現已在非小號資訊平臺發布217篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/9631438.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

QT拳頭回歸給所有人重新選擇財富的機會

Tags：智能鏈BSCRATBNB智能鏈幣ZNLBBSC幣Generation FinanceMBNB價格

Ethereum