时值国庆大假期间,加密钱包初创公司ZenGo的研究员亚历克斯·马努斯金爆料称,有用户一夜之间损失了价值14万美元的Uniswap代币UNI,而这与名为UniCats的“收益农场”有关。据了解,一些参与DeFi提供流动性挖矿赚取收益的用户最近发现了UniCats这个新农场。从界面来看,UniCats类似YamFinance和SushiSwap;收益方面,不仅可挖矿本地MEOW代币,同时还可挖出包括UNI在内的其它代币。界面友好,产能不赖,资产入场。当用户准备提供流动性时,UniCats弹出提示框,要求获取消费限制许可,而该许可的限制是:无限。用户可能怎么也不会想到,在这个无限消费的许可的背后,UniCats开发者早已暗置了一个直通自家资产的“后门”。用户的资产可由此被悄悄转移至开发者指定的地址。就这样,有大胆且不幸的“农夫”瞬间被窃取了价值14万美元的UNI,而其他用户也有不同程度的损失。盗窃“现场”
MDEX官方:UniSwap上假币MDX与MDEX没有任何关系:近日,有用户举报发现UniSwap上出现冒充MDEX的假币。据MDEX官方核实,该网站使用“MDEX.COM”标志,并使用MDX为代币名称,冒充MDEX发币严重侵犯了MDEX品牌声誉与用户利益。MDEX官方团队发布声明称:“UniSwap链上假币MDX与MDEX没有任何关系,请用户谨慎辨别。” MDEX团队同时对用户发出提醒称,有关MDEX官方的所有进展和信息,均会通过官网公告及官方渠道进行发布。请广大投资者保持警惕,谨防上当受。[2021/1/20 16:33:19]
那么,UniCats开的这个“后门”,又是如何对用户进行窃金操作的呢?1、盗窃者首先将UniCats的owner权限转移给一个合约地址。2、盗窃者通过获得owner权限的合约地址调用UniCats的setGovernance方法。3、setGovernance函数调用对于代币的transferFrom函数,将用户资产转移到盗窃者地址。第2、3步为此次盗窃的核心步骤,如下图所示:
Uniswap将在2021年改善自动做市并探索扩容解决方案:12月31日,Uniswap在其《2020年度回顾》中发布2021年路线图。具体内容包括:1.改善自动做市:团队继续研发AMM技术,在v3上取得长足进展。2.探索扩容解决方案以降低延迟交易、加快结算速度和降低交易成本。3.加强治理:Uniswap核心团队成员计划在2021年以个人身份更直接地参与治理,包括公开支持或反对提案。此外,核心团队可以将投票权委托给他人或自己,治理工作将继续由社区主导。[2021/1/1 16:12:02]
BitMax交易所将上线UNION(UNN):BitMax交易所将于12月31日22:00(北京时间)上线UNION(UNN),并开放UNN/USDT交易,充提现已开放。
2020年12月31日22:00-2021年1月7日8:00(北京时间)期间,BitMax平台将联合UNION团队开启限时上线活动,交易打卡瓜分13,000USDT等值奖励(700,000UNN)。更多详情请至BTMX.io官网查询。[2020/12/31 16:08:58]
“后门”分析
UniCats合约中的setGovernance函数是实现盗窃的关键。通过调用此函数,UniCats合约即可作为调用者,能够向任意合约发起任意调用。
Pickle推出wBTC/ETH LP (farming UNI)等3个新PickleJars:Pickle Finance在推特宣布,为了响应PIP-9和整个社区的需求,Pickle刚推出3个新PickleJars:wBTC/ETH LP (farming UNI)和、enBTCCRV LP (farming CRV)和3poolCRV LP (farming CRV)。[2020/10/9]
三个伪装成Uniswap的钓鱼网站出现在Google搜索中:Google搜索界面显示,目前已有三个伪装成Uniswap的钓鱼网站,分别是uniswap.com,uniswapdex.org和unsiwap.site。这些虚假网站诱用户提供种子短语和私钥。初步报告显示,犯罪者至少能够窃取1.5 ETH。(Beincrypto)[2020/8/6]
据上图所示,调用该方法可输入两个参数,即一个地址类型的“_governance”和一个bytes类型的“_setData”。而函数的governance.call(_setupData)其实是表示向参数“_governance”地址发起一笔交易,其calldata为参数“_setData”。如此一来,只要有权限调用这个方法,便可以借合约的身份发起任意交易。在进行代码编写时,其注释表示此函数是一个修改治理合约的函数,如下图所示:
事实上,根据成都链安的审计经验,修改治理合约通常并不需要调用call。而且,UniCats在对用户资产进行盗窃时,还刻意多次变换owner地址,如下图所示:
不仅如此,资产在转出后还立刻被流入混淆器,如下图所示:
如此操作,老练狠辣、一气呵成,因此基本可以断定,该项目就是一个彻头彻尾的局,为的就是钓鱼而上线。令人细思极恐的是,在本案例中盗窃者调用了transferFrom方法对用户的资产实施转账,这就使得即便存在于钱包的用户资产,也可能面临被盗的风险。由于在合约授权时发起的是无额度限制授权,因此,一旦授权许可通过,合约就有权转移用户所有的资产。成都链安郑重提醒,用户在进行合约授权时,使用多少,授权多少。这样操作的话,即便不幸遭遇类似欺诈性质的合约,也不会殃及钱包中的本金。如果用户不太清楚自己的授权情况,可以通过以下工具进行查询。1、https://approved.zone2、https://revoke.cash3、https://tac.dappstar.io/#/小结
于DeFi领域,用户获得新币的门槛大大降低,通过组合资产投资的确可能在短期内实现大规模的增值收益。但是,用户资产可能面临的风险状况就变得更为复杂,在这点上必须引起高度注意。在DeFi这个“黑暗森林”,大胆冒险是禁忌一般的行为。用户资产不仅要受到客观行情波动的影响,质押时是否遭受“清算”也无法预知,而合约中的人为陷阱更是无处不在。尤其是,不少DeFi项目都存在代理转账的逻辑,多数项目方也会直接要求用户授权最大值。也就是说,用户授权后,某些不良合约将利用留“后门”的手段,反噬用户所持的全部资产。因此,对于用户而言,来自合约的一切许可请求都要格外注意,宁理性退场,不冒然入坑,时刻警惕恶意项目方的此类“后门”陷阱。
编者按:本文来自吉时通信,作者:宋嘉吉、孙爽,Odaily星球日报经授权转载。事件10月8日,深圳市罗湖区政府出资1000万元,向5万个在深个人每人发放200元数字人民币红包.
1900/1/1 0:00:00作者:MYKEY研究员蒋海波为帮助加密市场参与者对稳定币发展状态保持更新,我们推出MYKEY稳定币报告,分享我们对稳定币发展状态的解读、对其发展趋势的分析。期待与同业保持交流,共同探索稳定币的发展前景.
1900/1/1 0:00:00编者按:本文来自Cointelegraph中文,作者:ANDREYSHEVCHENKO,Odaily星球日报经授权转载.
1900/1/1 0:00:00编者按:本文来自蜂巢财经News,作者:JXkin,Odaily星球日报经授权转载。解决以太坊网络运行速度和可扩展性的2.0版本又有了新进展.
1900/1/1 0:00:00编者按:本文来自Cointelegraph中文,作者:TINGPENG,Odaily星球日报经授权转载。比特币的发行总量仅为2100万枚,但目前也只有不足250万枚可挖了.
1900/1/1 0:00:00编者按:本文来自以太坊爱好者,作者:DmitriyBerenzon,翻译&校对:shooter/img/20230509034859253757/1.jpg "/>这对DeFi的影响是惊人的——截至本文撰写时.
1900/1/1 0:00:00