关于DeFi流动性挖矿项目chick.finance恶意合约代码的详细分析

就在刚刚，YFII通报了chick.finance合约代码的风险，不过其中提到的“用户充值的所有代币，开发者都有权限提取”这句话其实并不是完全准确的，因此在这里我们需要给大家做下更详细的描述：

该合约恶意代码的问题并不在于“开发者事发后能提取用户存在合约中的代币”，而在于对于任何给该合约授权了的用户，开发者都能把你钱包里的代币一扫而空，这正是比特派安全实验室在之前的那篇《以太坊Defi生态当前最大的安全隐患》一文中提到的“滥用合约授权问题”。

Compound关于“改变cDAI利率模型”提案已通过:近期，加密借贷平台Dharma宣布已向去中心化借贷协议Compound提出了首个改进建议，提议改变cDAI的利率模型。目前该提案已通过，支持率高达97%。据了解，该提案试图为cDAI利率创造一个稳定的上升轨道以取代目前的体系，即在cDAI 90%以上的贷款都在平台上发放之前只能赚取最低的利息。此外，另一项关于Compound支持USDT借贷的提议也已经通过。注：4月17日，Compound宣布其社区治理已正式接管协议，从今往后所有的系统参数变更或者新增资产，需要由其治理代币COMP的持有者发起。（Cointelegraph）[2020/5/3]

恶意代码是如下这段：

动态 | 数字认证董事会办公室人员：公司已有关于数字版权的区块链解决方案:金色财经报道，数字认证（300579）的一位董事会办公室人员表示，在区块链领域，该公司已有关于数字版权的区块链解决方案。[2019/12/27]

functionstartReward(address_from,uint256amount)externalpub1ic{

动态 | 金融稳定委员将在G20之前提交一份关于加密货币发展报告:据financemagnates消息，金融稳定委员会（FSB）将在G20之前提交一份关于加密发展报告。随着加密货币经济的蓬勃发展，主要的国际监管机构现在正专注于简化许多加密相关领域的政策，包括投资者保护、市场诚信和反。金融稳定委员会在最近的一份报告中概述了监管机构的前景。FSB将在即将到来的G20峰会上向各国财长和央行行长提交报告。报告详细指出，巴塞尔银行监管委员会(BCBS)正致力于引入与加密资产相关的政策和监管举措，并致力于加强全球银行的监管和实践。[2019/5/31]

????weth.safeTransferFrom(_from,owner(),amount);

??}

开发者对故意拼写错误的pub1ic做了如下约束

modifierpub1ic(){

????require(isOwner(),"Ownable:callerisnottheowner");

????_;

??}

上述代码的逻辑很简单，干的就是那些给这个合约授权了的用户，合约Owner都能把你的代币转给Owner，就这么简单。

这其实是DeFi生态里非常严重的恶性事件，理应引起全行业的重视，因为这次可能恶意开发者只是用拼写错误的方式来试图蒙大家，然后很幸运的第一时间被发现了，那下次呢？是不是可以写出逻辑复杂并且很难被看出来的漏洞，静静的等待上线把各位的钱包一扫而空呢？要再次强调的是，这个例子中，您损失的可不仅仅是您存入合约的资产，而是你钱包里的全部资产，明白了吗？

我们之前在向全行业提出“滥用合约授权”问题的时候，就曾预计到可能会有开发者作恶的情况出现，没想到这一天来的这么快，这次代码伪装的比较蠢，那下次呢？下次DeFi矿工们是否还能躲得过去了呢

标签：OWNOMPCOMNERKnownOrigincompound币最新消息COMFI价格MOONER价格

酷币热门资讯