時值國慶大假期間,加密錢包初創公司ZenGo的研究員亞歷克斯·馬努斯金爆料稱,有用戶一夜之間損失了價值14萬美元的Uniswap代幣UNI,而這與名為UniCats的“收益農場”有關。
據了解,一些參與DeFi提供流動性挖礦賺取收益的用戶最近發現了UniCats這個新農場。從界面來看,UniCats類似YamFinance和SushiSwap;收益方面,不僅可挖礦本地MEOW代幣,同時還可挖出包括UNI在內的其它代幣。
界面友好,產能不賴,資產入場。
當用戶準備提供流動性時,UniCats彈出提示框,要求獲取消費限制許可,而該許可的限制是:無限。
中國工程院發布區塊鏈“安監鏈”應用案例:11月12日消息,中國工程院《中國區塊鏈發展戰略研究》項目發布“發現100個中國區塊鏈創新應用”欄目之“安監鏈”應用案例。據了解,近年來工程安全問題頻發和“豆腐渣”工程的增加,使工程安全監控逐漸成為人們關注的重點。傳統的監控量測工作,一方面存在著工作不規范、人員投入多、監測實施成本高、測量數據易失真等問題;另一方面監測單位和政府監管部門缺乏信息化的數據采集、分析、決策手段,導致監測數據僅以周期性的紙質報告形式存在,對于風險預防和及時響應處理缺乏賦能,同時受到數據可信度的影響,監測報告的公信力未能得到有效保障。
“安監鏈”創造性地構建了區塊鏈+物聯網應用模式。平臺將區塊鏈基礎設施與物聯網設備有機結合。通過“安監鏈”平臺,業主方、施工方、監理方、監測方和政府監管部門,可實時地、可視化地查看各類在建和已建工程項目的監測和數據,數據超過閾值時,系統將自動啟動告警策略并通過短信、郵件、系統通知等手段及時告知項目相關干系人,便于及時進行處置和干預。[2021/11/14 6:51:01]
用戶可能怎么也不會想到,在這個無限消費的許可的背后,UniCats開發者早已暗置了一個直通自家資產的“后門”。用戶的資產可由此被悄悄轉移至開發者指定的地址。
動態 | 圖靈獎得主姚期智介紹區塊鏈等金融科技應用案例 并展望金融科技發展前景:據金融科技研究消息,4月15日,中國人民銀行舉辦“金融科技大講堂”首次活動。中國科學院院士、圖靈獎得主、清華大學交叉信息研究院院長姚期智發表《金融科技的崛起:科學基礎與發展前景》主題演講,重點介紹了多方安全計算、區塊鏈、無監督學習等金融科技應用案例,并對金融科技應用與發展的未來前景作了展望。[2019/4/16]
就這樣,有大膽且不幸的“農夫”瞬間被竊取了價值14萬美元的UNI,而其他用戶也有不同程度的損失。
盜竊“現場”
那么,UniCats開的這個“后門”,又是如何對用戶進行竊金操作的呢?
1、盜竊者首先將UniCats的owner權限轉移給一個合約地址。
聲音 | 俄羅斯央行行長:企業正在改進區塊鏈等新技術 尋找應用案例:俄羅斯央行行長Elvira Nabiullina在索契創新金融技術論壇上表示,近期,全球加密貨幣熱潮開始消退,企業對區塊鏈技術開始采取更為冷靜的態度。企業正在努力改進區塊鏈等新技術,尋找實際應用的案例。[2018/10/18]
2、盜竊者通過獲得owner權限的合約地址調用UniCats的setGovernance方法。
3、setGovernance函數調用對于代幣的transferFrom函數,將用戶資產轉移到盜竊者地址。
第2、3步為此次盜竊的核心步驟,如下圖所示:
動態 | 發布十大網絡犯罪典型案例 含虛擬貨幣變現服務案:據人民報,2018互聯網安全與治理論壇18日在四川省成都市舉行,論壇發布了10個機關打擊網絡違法犯罪典型案例。其中,廣東深圳機關破獲尹某等人開設賭場案在列。該案中,廣東深圳機關摧毀了某類游戲APP平臺中專門為“賭客”提供虛擬貨幣變現服務、從中賺取差價牟利變相實施網絡賭博的團伙。[2018/9/19]
“后門”分析
UniCats合約中的setGovernance函數是實現盜竊的關鍵。通過調用此函數,UniCats合約即可作為調用者,能夠向任意合約發起任意調用。
據上圖所示,調用該方法可輸入兩個參數?,即一個地址類型的“_governance”和一個bytes類型的“_setData”。而函數的governance.call(_setupData)其實是表示向參數“_governance”地址發起一筆交易,其calldata為參數“_setData”。如此一來,只要有權限調用這個方法,便可以借合約的身份發起任意交易。
在進行代碼編寫時,其注釋表示此函數是一個修改治理合約的函數,如下圖所示:
事實上,根據成都鏈安的審計經驗,修改治理合約通常并不需要調用call。而且,UniCats在對用戶資產進行盜竊時,還刻意多次變換owner地址,如下圖所示:
不僅如此,資產在轉出后還立刻被流入混淆器,如下圖所示:
如此操作,老練狠辣、一氣呵成,因此基本可以斷定,該項目就是一個徹頭徹尾的騙局,為的就是釣魚詐騙而上線。
令人細思極恐的是,在本案例中盜竊者調用了transferFrom方法對用戶的資產實施轉賬,這就使得即便存在于錢包的用戶資產,也可能面臨被盜的風險。由于在合約授權時發起的是無額度限制授權,因此,一旦授權許可通過,合約就有權轉移用戶所有的資產。
成都鏈安鄭重提醒,用戶在進行合約授權時,使用多少,授權多少。這樣操作的話,即便不幸遭遇類似欺詐性質的合約,也不會殃及錢包中的本金。如果用戶不太清楚自己的授權情況,可以通過以下工具進行查詢。
1、https://approved.zone
2、https://revoke.cash
3、https://tac.dappstar.io/#/
小結
于DeFi領域,用戶獲得新幣的門檻大大降低,通過組合資產投資的確可能在短期內實現大規模的增值收益。但是,用戶資產可能面臨的風險狀況就變得更為復雜,在這點上必須引起高度注意。
在DeFi這個“黑暗森林”,大膽冒險是禁忌一般的行為。用戶資產不僅要受到客觀行情波動的影響,質押時是否遭受“清算”也無法預知,而合約中的人為陷阱更是無處不在。
尤其是,不少DeFi項目都存在代理轉賬的邏輯,多數項目方也會直接要求用戶授權最大值。也就是說,用戶授權后,某些不良合約將利用留“后門”的手段,反噬用戶所持的全部資產。
因此,對于用戶而言,來自合約的一切許可請求都要格外注意,寧理性退場,不冒然入坑,時刻警惕惡意項目方的此類“后門”陷阱。
在最近過去的幾個小時內,由于美國商品和期貨交易委員會指控BitMEX利用其便利洗錢和經營非法的加密貨幣衍生品交易所,比特幣價格下跌.
1900/1/1 0:00:00Filecoin確定主網上線時間了——10月15日。更準確來說,是epoch達到148888時正式上線,而目前的預測時間是10月15日達到.
1900/1/1 0:00:00近期,DeFi項目蓬勃發展,已然一躍成為全球幣圈的熱點。截至當下,DeFi項目的服務范圍已覆蓋信用支付、借貸、去中心化交易所、穩定幣等領域.
1900/1/1 0:00:00雖然以太坊的價格在過去一個月一直徘徊在340-350美元之間,但多個鏈上指標表明以太坊可能正在反彈。加密貨幣數據分析公司Santiment最近指出,自9月初以來,交易所的存款數量一直在減少.
1900/1/1 0:00:00北京時間9月26日凌晨,著名交易所庫幣發生盜幣事件,從比特幣到ERC20USDT以及其它ERC20標準代幣,甚至EOS?USDT都遭受了損失.
1900/1/1 0:00:00撰文:匿名作者 編譯:詹涓 紅蠟燭燒得最旺。當牛市停止奔跑,手指就開始指向對方,欣喜和貪婪變成了懷疑和指責。在市場半透明的海水中,獵人們用銳利的目光注視著鯨魚.
1900/1/1 0:00:00