宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > Polygon > 正文

Sushiswap“打错币”事件:我想省下Gas费 却丢了40万美元

作者:

时间:1900/1/1 0:00:00

DeFi流动性挖矿爆红,之前踏空老韭菜也按捺不住,纷纷下场。

但你永远不知道,意外和暴富,哪一个会先来。

DeFi协议SushiSwap刚运行3天,锁定资产总价值就已超过7亿美元。SushiSwap的逻辑很像Uniswap,也是为提供流动性的用户提供奖励,但玩法有一点不同。Uniswap的逻辑是仅在LP提供流动性的时候,才能获得0.3%的手续费奖励,一旦Uniswap的LP停止提供流动性,奖励也随之停止。为了鼓励大家使用SUSHI,项目方将SUSHI/ETH这个池子设计为2倍奖励,据此计算,年化暂时高达9500%。

但是币生币之前也需要用户的操作,老“韭菜”玩DeFi一不小心就踩了坑。

Sushi DAO投票Jared Gray为新的CEO:金色财经报道,在治理投票的结果之后,Jared Gray以超过83%的选票赢得Sushi DAO的首席执行官的选举。投票于 9 月 26日开始,并于今天美国东部标准时间上午 08:00 结束,Jared Gray 成为获胜者。Gray是 Sushi 首席执行官职位的五名候选人之一。在治理代币持有者投出的1300万张选票中,他投票了1100万张。这占该过程中投票的83%以上。[2022/10/4 18:38:47]

SushiSwap运行流动性挖矿的第二天,就出现了用户错误转币的情况。

8月30日,SushiSwap项目官方人员@ChefNomi发布推特,称有用户向其Token智能合约地址转账40万USDT。并且,SushiSwap团队表示,转入该智能合约的代币将无法提取。????

SUSHI跌破10美元关口 日内跌幅为12.67%:火币全球站数据显示,SUSHI短线下跌,跌破10美元关口,现报9.9978美元,日内跌幅达到12.67%,行情波动较大,请做好风险控制。[2021/6/8 23:20:28]

Odaily查询发现,上述40万USDT是分两笔从Gate交易所转出,时间仅相差一小时。????

苦主是Gate交易所实习打币员吗?不,是Gate的用户。

8月30日当天,Gate官方第一时间回应称:此举为用户个人操作转错。

这个用户是谁?币乎用户@冰棒爆料称,是币圈自媒体「王团长区块链」创始人王团长。

根据@冰棒晒出的截图,王团长在社交媒体上四处求助,试图联系Gate或SushiSwap官方人员,让官方回滚交易或者直接提取误转的代币。???

Cream 漏洞分析:攻击者通过数额巨大的cySUSD从IronBank借入WETH等资产:TheBlock研究分析师@Frank Researcher在推特分析了CreamFinance推出的零抵押跨协议贷款Iron Bank被盗约3750美元资产的过程,具体为:1.攻击者使用Alpha Homora从Iron Bank借入sUSD,每次借入资金都是上次借款的两倍。2.攻击者通过两笔交易来完成任务,每次将资金借给Iron Bank获得cySUSD。3.在某些时候,攻击者从Aavev2获得了180万美元的USDC闪电贷款,并使用Curve将USDC换成了sUSD。4.攻击者把sUSD借给Iron Bank,使得他们可以继续获得cySUSD。5.一些sUSD用于偿还闪电贷款。6.此外,1000万美元的闪电贷款也被用来增加cySUSD的数量。7.最终,攻击者获得了数额巨大的cySUSD,这让他们可以从Iron Bank借到任何资产。8.随后攻击者借到了13.2万枚WETH、360万枚USDC、560万枚USDT、420万枚DAI。9.稳定币已转入Aavev2,随后向Iron Bank部署者转入1000ETH、向Homora部署者转入1000ETH,向Tornado转入220ETH、向Tornadogrant转入100ETH,还有大约1.1万枚ETH在攻击者钱包地址中。[2021/2/13 19:42:00]

但SushiSwap官方已经表明态度:回滚是不可能回滚的,这辈子是不可能回滚的,除非Tether耍赖自己回滚。

SUSHI跌破7.8美元关口 日内涨幅为9.96%:火币全球站数据显示,SUSHI短线下跌,跌破7.8美元关口,现报7.8美元,日内涨幅达到9.96%,行情波动较大,请做好风险控制。[2021/1/24 13:21:51]

????

为什么官方不能直接提币还给用户?

慢雾安全团队告诉Odaily星球日报,在分析了SushiSwap代币合约后发现,该智能合约没有预留代币取出接口,用户误转入的代币,相当于转到了零地址,永久被锁死在区块链世界中。

“如果项目方保留最高提取权,其实是可以提币的。但为了去中心化,很多项目取消了最高控制权。因此,也就无法提币。”BlockArk?联合创始人墨客告诉Odaily星球日报。

如果SushiSwap官方真地提取出了代币还给用户,相当于直接昭告天下,该智能合约存在后门,项目方可以为所欲为,对于项目而言将是毁灭性的打击。毕竟,在区块链的世界,Codeislaw。

因此,SushiSwap官方也在最开始表明态度:深表遗憾,无能为力。

实际上,除了上述的40万USDT,该还收到了其他用户失误转账。

Odaily星球日报查询发现,从该项目运行以来,代币智能合约累计收到8笔转账,累计收到40万USDT、18086个AMPL、1100个SUSHI。

值得注意的是,AMPL的发送方同样是Gate,另外王团长在公众号中表示重仓了20万元的AMPL。因此,这笔钱的苦主大概率也是其本人。

相信读到这里,大多数人都有一个困惑:既然代币智能合约不能提币,为什么这么多铁憨憨会往其中打币?

慢雾安全团队揭示了其中的奥秘:为了省下Gas费。

参与流动性挖矿的标准操作是:

从交易所提币到用户自己钱包地址;

打开流动性挖矿项目网站,点击相应挖矿池,调出智能合约;

从网页钱包授权,向项目的智能合约转账。

上述过程的第一步和第三部都要用到链上转账,也就需要用户支付Gas费用。于是,一些「聪明人」想着,直接省略第一步,从交易所直接向项目智能合约打币,这也就有了文章开头的一幕。

为什么不能从交易所直接转账呢?

慢雾安全团队表示,正常操作流程是使用个人钱包在官方网站进行操作,官方会有一个上层路由合约去执行用户需要的具体操作(兑换、提供流动性等);但如果直接打币进入智能合约,则不会触发相应操作。“因此建议用户,在不熟悉具体操作流程的情况下,尽量使用官方的网站进行操作,避免失误造成资产损失。”

最后,Odaily星球日报也想提醒各位有志于成为「农民」的朋友:

参与挖矿时候,首选经过代码安全审计的项目,国内比较有代表性的相关安全团队有:慢雾、派盾、成都链安等;

一定要清楚挖矿的流程,懂得公钥、私钥等关键概念,能够熟练使用网页钱包转账;

挖矿时,不要为了省Gas费,从交易所直接转账进入项目,否则资产将会被锁定且无法取回;

最后,一些挖矿项目会在代码中添加钱包私钥授权,直接掌握用户热钱包。因此,重要资产不要放在网页钱包中。

作者|秦晓峰

编辑|Mandy

出品|Odaily星球日报

标签:USHIUSHSHISUSHISushiBytesUSHIBA币Yooshiba Inusushi币值得长期持有吗

Polygon热门资讯
Delisting of ETCUSDT Perpetual Contract from KEX

Dearusers: Duetothemultiple51%attacksthatmaybringtheuncertaintyforETCprojects,andtoensuretheassetsafetyandavoidrisks.

1900/1/1 0:00:00
新算法可以识别Twitter上的厌女症

澳大利亚昆士兰科技大学的研究人员开发了一种算法,可以检测Twitter上的不良信息。该团队通过首先挖掘100万条推文来开发该系统。然后,他们通过在帖子中搜索三个辱骂关键字来完善数据集.

1900/1/1 0:00:00
OKEx关于永续合约系统升级的公告

尊敬的OKEx用户: 为了提升服务质量,进一步优化交易体验,OKEx永续合约将于2020年9月1日16:00-16:20(HKT)进行系统维护.

1900/1/1 0:00:00
BigONE 已开启 TRX「DeFi 机池挖矿产品」募集

亲爱的用户: BigONE现已开启TRX「DeFi机池挖矿产品」募集。详情如下:TRXDeFi机池参与入口:https://www.bigonechina.com/cn/coffer/pos/45币赢CoinW将于8月31日17:.

1900/1/1 0:00:00
关于WBF即将上线BDCC(BDCC GOLD CHAIN)的公告

尊敬的用户: WBF即将在开放区上线BDCC/USDT交易对,具体上线时间请关注官方公告。 项目介绍: BDCC基于环境的内在价值,再加上区块链技术提供的可访问性,将区块链透明度?安全性和不变性与BDCC结合起来旨在为区块链?加密货币.

1900/1/1 0:00:00
以太坊挖矿是门好生意吗?现在是入局以太坊挖矿的好时机吗?

工作量证明本质是一种公平的代币发行方式,不仅仅只有比特币挖矿,还有很多其他币种,比如ETH、BCH、DASH等等,都是通过PoW发行的。知矿大学后续会逐步生产其他币种的挖矿内容.

1900/1/1 0:00:00