時值國慶大假期間,加密錢包初創公司ZenGo的研究員亞歷克斯·馬努斯金爆料稱,有用戶一夜之間損失了價值14萬美元的Uniswap代幣UNI,而這與名為UniCats的“收益農場”有關。據了解,一些參與DeFi提供流動性挖礦賺取收益的用戶最近發現了UniCats這個新農場。從界面來看,UniCats類似YamFinance和SushiSwap;收益方面,不僅可挖礦本地MEOW代幣,同時還可挖出包括UNI在內的其它代幣。界面友好,產能不賴,資產入場。當用戶準備提供流動性時,UniCats彈出提示框,要求獲取消費限制許可,而該許可的限制是:無限。用戶可能怎么也不會想到,在這個無限消費的許可的背后,UniCats開發者早已暗置了一個直通自家資產的“后門”。用戶的資產可由此被悄悄轉移至開發者指定的地址。就這樣,有大膽且不幸的“農夫”瞬間被竊取了價值14萬美元的UNI,而其他用戶也有不同程度的損失。盜竊“現場”
Uniswap已部署至Base網絡:8月8日消息,Uniswap已部署至Coinbase Layer2 網絡 Base,用戶可以直接從 Uniswap 網絡應用程序在 Base 網絡上添加流動性或進行代幣兌換。[2023/8/8 21:30:50]
那么,UniCats開的這個“后門”,又是如何對用戶進行竊金操作的呢?1、盜竊者首先將UniCats的owner權限轉移給一個合約地址。2、盜竊者通過獲得owner權限的合約地址調用UniCats的setGovernance方法。3、setGovernance函數調用對于代幣的transferFrom函數,將用戶資產轉移到盜竊者地址。第2、3步為此次盜竊的核心步驟,如下圖所示:
Uniswap將于14天內開啟“費用開關”提案的鏈上投票:12月5日消息,Uniswap將于14天內開啟“費用開關”提案的鏈上投票,目前正在進行技術調查,以確保提案本身的格式正確。投票開啟后,UNI代幣持有者將有7天的時間來投票。該提案計劃為Uniswap提供了一個測試選定流動性池參數的機會,其中包括0.05%的DAI-ETH、0.3%的ETH-USDT和1%的USDC-ETH,Uniswap金庫將對這3個流動池收取10%的費用。
據悉,8月10日Uniswap的“費用開關”提案通過共識檢查投票,此前也已通過溫度檢查(temperature check)投票。Alsator團隊在本月早些時候發布了“Uniswap費用轉換報告”,該報告的主要內容是,費用轉換應旨在增加Uniswap協議的交易量和市場份額。[2022/12/5 21:22:58]
Gate.io已開通UNI交易:據官方公告,Gate.io已于9月17日13:00開通UNI交易。Gate.io提醒:去中心化平臺Uniswap今日發布代幣UNI,項目由抵押挖礦產生,風險較高,請務必謹慎參與。[2020/9/17]
“后門”分析
UniCats合約中的setGovernance函數是實現盜竊的關鍵。通過調用此函數,UniCats合約即可作為調用者,能夠向任意合約發起任意調用。
據上圖所示,調用該方法可輸入兩個參數,即一個地址類型的“_governance”和一個bytes類型的“_setData”。而函數的governance.call(_setupData)其實是表示向參數“_governance”地址發起一筆交易,其calldata為參數“_setData”。如此一來,只要有權限調用這個方法,便可以借合約的身份發起任意交易。在進行代碼編寫時,其注釋表示此函數是一個修改治理合約的函數,如下圖所示:
動態 | TENUNI與極豆資本、OnFund等機構達成戰略合作:加密資產配置平臺ChainStar正式宣布更名為TENUNI,并與極豆資本、OnFund、九天創合資本等機構達成戰略合作關系。TENUNI立足于新加坡,輻射包括加拿大、美國、日本、中國等多個國家,為Token Fund與合格投資人提供透明、安全、收益穩定的投資平臺。此次與極豆資本、OnFund、九天創合資本等達成戰略合作關系,將實現區塊鏈資源共享,推動全球加密資產投資合規化進程。[2018/9/27]
事實上,根據成都鏈安的審計經驗,修改治理合約通常并不需要調用call。而且,UniCats在對用戶資產進行盜竊時,還刻意多次變換owner地址,如下圖所示:
不僅如此,資產在轉出后還立刻被流入混淆器,如下圖所示:
如此操作,老練狠辣、一氣呵成,因此基本可以斷定,該項目就是一個徹頭徹尾的騙局,為的就是釣魚詐騙而上線。令人細思極恐的是,在本案例中盜竊者調用了transferFrom方法對用戶的資產實施轉賬,這就使得即便存在于錢包的用戶資產,也可能面臨被盜的風險。由于在合約授權時發起的是無額度限制授權,因此,一旦授權許可通過,合約就有權轉移用戶所有的資產。成都鏈安鄭重提醒,用戶在進行合約授權時,使用多少,授權多少。這樣操作的話,即便不幸遭遇類似欺詐性質的合約,也不會殃及錢包中的本金。如果用戶不太清楚自己的授權情況,可以通過以下工具進行查詢。1、https://approved.zone2、https://revoke.cash3、https://tac.dappstar.io/#/小結
于DeFi領域,用戶獲得新幣的門檻大大降低,通過組合資產投資的確可能在短期內實現大規模的增值收益。但是,用戶資產可能面臨的風險狀況就變得更為復雜,在這點上必須引起高度注意。在DeFi這個“黑暗森林”,大膽冒險是禁忌一般的行為。用戶資產不僅要受到客觀行情波動的影響,質押時是否遭受“清算”也無法預知,而合約中的人為陷阱更是無處不在。尤其是,不少DeFi項目都存在代理轉賬的邏輯,多數項目方也會直接要求用戶授權最大值。也就是說,用戶授權后,某些不良合約將利用留“后門”的手段,反噬用戶所持的全部資產。因此,對于用戶而言,來自合約的一切許可請求都要格外注意,寧理性退場,不冒然入坑,時刻警惕惡意項目方的此類“后門”陷阱。
Tags:UNISWAPUniswapUNICUniX GamingPapayaSwapuniswap幣最新消息UNICORN
文/王巧編輯/獨秀鋅鏈接作為首個提出產業區塊鏈的機構媒體,一直積極推動產業區塊鏈落地。通過深度報道直戳行業痛點,通過分享會聆聽行業聲音,通過周報呈現行業大觀,通過評論展現獨特產業觀察視角.
1900/1/1 0:00:00我們先看下面比特幣在2017年的價格走勢圖: 我們都知道比特幣在2017年走出了一波大牛市,從牛市啟動前的1000多美元最高漲到了接近20000美元.
1900/1/1 0:00:00進入9月以來,由流動性挖礦引發的DeFi熱潮開始逐漸降溫,盡管期間有Uniswap開啟流動性挖礦,但也難改DeFi市場的整體頹勢.
1900/1/1 0:00:002020年第41周區塊鏈二級市場報告2020年10月5日-2020年10月13日本期報告重點內容:本周大盤走勢:上行沖高收復失地.
1900/1/1 0:00:00本文來自:哈希派,作者:哈希派分析團隊,星球日報經授權轉發。金色財經合約行情分析 | BTC突破近一年高點,市場或出現結構性變化:據火幣BTC永續合約行情顯示,截至今日18:00(GMT+8),
1900/1/1 0:00:00數字資產領域Cefi、Defi風險頻繁。近期的Kucoin被盜事件中,僅ERC20代幣就損失了1.5億美元.
1900/1/1 0:00:00