區塊鏈:關于DeFi流動性挖礦項目chick.finance惡意合約代碼的詳細分析_YST

就在剛剛，YFII通報了chick.finance合約代碼的風險，不過其中提到的“用戶充值的所有代幣，開發者都有權限提取”這句話其實并不是完全準確的，因此在這里我們需要給大家做下更詳細的描述：

該合約惡意代碼的問題并不在于“開發者事發后能提取用戶存在合約中的代幣”，而在于對于任何給該合約授權了的用戶，開發者都能把你錢包里的代幣一掃而空，這正是比特派安全實驗室在之前的那篇《以太坊Defi生態當前最大的安全隱患》一文中提到的“濫用合約授權問題”。

教育部關于印發《高等學校區塊鏈技術創新行動計劃》的通知:教育部近日發布關于印發《高等學校區塊鏈技術創新行動計劃》的通知。通知稱為深入學習習近平總書記關于區塊鏈技術的重要講話精神和黨中央、國務院關于推進區塊鏈技術發展的重要部署，發揮高校科技創新優勢，更好地推動我國區塊鏈技術發展和應用，特制定《高等學校區塊鏈技術創新行動計劃》。

據了解，《高等學校區塊鏈技術創新行動計劃》總體目標是到2025年，在高校布局建設一批區塊鏈技術創新基地，培養匯聚一批區塊鏈技術攻關團隊，基本形成全面推進、重點布局、特色發展的總體格局和高水平創新人才不斷涌現、高質量科技成果持續產生的良好態勢，推動若干高校成為我國區塊鏈技術創新的重要陣地，一大批高校區塊鏈技術成果為產業發展提供動能，有力支撐我國區塊鏈技術的發展、應用和管理。[2020/5/18]

惡意代碼是如下這段：

公告 | 水晶CRYSTO發布關于以水晶CRYSTO名義發布虛假信息聲明:水晶CRYSTO發布聲明稱，近日有不法分子假冒水晶CRYSTO名義兜售水晶CRYSTO幣。水晶CRYSTO公關部表示，水晶CRYSTO從未以任何形式參與代幣發行或交易相關活動，也未與任何機構展開此方面的合作，更無任何對外公布的發幣數量、價格。[2019/2/26]

functionstartReward(address_from,uint256amount)externalpub1ic{

火幣全球專業站關于恢復DBC、RPX、ONT充幣業務的公告:火幣全球專業站發布公告稱，現已恢復DBC、RPX、ONT充幣業務。[2018/5/4]

????weth.safeTransferFrom(_from,owner(),amount);

??}

開發者對故意拼寫錯誤的pub1ic做了如下約束

modifierpub1ic(){

????require(isOwner(),"Ownable:callerisnottheowner");

????_;

??}

上述代碼的邏輯很簡單，干的就是那些給這個合約授權了的用戶，合約Owner都能把你的代幣轉給Owner，就這么簡單。

這其實是DeFi生態里非常嚴重的惡性事件，理應引起全行業的重視，因為這次可能惡意開發者只是用拼寫錯誤的方式來試圖蒙騙大家，然后很幸運的第一時間被發現了，那下次呢？是不是可以寫出邏輯復雜并且很難被看出來的漏洞，靜靜的等待上線把各位的錢包一掃而空呢？要再次強調的是，這個例子中，您損失的可不僅僅是您存入合約的資產，而是你錢包里的全部資產，明白了嗎？

我們之前在向全行業提出“濫用合約授權”問題的時候，就曾預計到可能會有開發者作惡的情況出現，沒想到這一天來的這么快，這次代碼偽裝的比較蠢，那下次呢？下次DeFi礦工們是否還能躲得過去了呢

Tags：區塊鏈CRYYSTcrysto哪個不是區塊鏈特性CrypWorldonekey和keystone哪個

萊特幣最新價格