最近惊闻BSC上2个土矿又跑路了,金额在千万级别,有一个矿朋友还中招了,实在是看不下去,和大家谈谈,如何避免大部分土矿的坑。
土矿一般来讲,抽走资金一般这几个步骤:
通过高APY吸引你冲动梭哈,毕竟高APY都是真金白银支撑的,收益这么高大户早来了,正所谓的收益越高,风险越大
通过一些“所谓的”安全措施让你觉得风险很低
盗取资金之后马上换为非erc代币或者无法冻结的代币,然后等待混币机会逃走
看到了这个步骤,你应该明白了,如果能够做到:
不开源的土矿一律不碰,不管他APY写的多么诱人
开源的土矿,如果要参与,一定是在diff合约,检查变量参数之后,少量资金参与。
那么相信你能规避大部分风险,下面简单讲一下怎么diff合约,怎么检查参数,以及一些衍生的思考。
Balancer生态收益治理平台Aura Finance发起部署至Optimism的治理投票:7月8日消息,Balancer生态收益治理平台Aura Finance发起部署至Optimism的治理投票,投票截止日期为7月10日2:00,一旦投票获得通过,跨链合约将部署至Optimism。
此前报道,6月份Aura Finance已上线Arbitrum。[2023/7/8 22:25:34]
第一步:diff
这里以在线对比工具?https://www.diffchecker.com/?为例
注意一点,diff的合约需要是你真实要转币进去的合约地址
首先拿到原版的MasterChef代码:
https://bscscan.com/address/0x73feaa1ee314f8c655e354234017be2193c9e24e#code
BIS研究表明CBDC的最佳水平是GDP的40%:金色财经报道,BIS经济学家对引入零售中央银行数字货币(CBDC)的潜在影响进行了宏观经济研究,认为CBDC的最佳水平是发行率为国内生产总值(GDP)的40%。该报告发现,如果发行率为GDP的30%,CBDC可以使一个国家的产出增加近6%,并实现超过2%的福利收益。然而,作者认为,最优政策结果占GDP的比例甚至更高,达到40%。这一CBDC发行水平明显高于目前提议的任何上限。例如,它几乎是正在讨论的数字欧元上限的四倍,摩根士丹利2021年的一份报告发现,这将导致8730亿欧元的银行存款损失。尽管如此,这个高数字是因为研究人员预计消费者不会持有大部分CBDC。他们的模型预测,CBDC存量一夜之间将增加至GDP的30%,而商业银行存款仅下降6%。不同之处在于,银行将相当大比例的政府债券持有量转换为CBDC。事实上,该文件预测银行存款将在六年内恢复其水平,并在长期内增长21.5%。从政府的角度来看,央行增加了占GDP30%的政府债券持有量,这意味着它是主要的债券持有人。[2023/4/6 13:48:47]
接着这里以popcornswap为例:
美国CFTC主席:FTX砍掉中间商的想法是市场结构的潜在“演变”:金色财经报道,关于FTX砍掉美国加密货币衍生品的中间商的提议,美国商品期货交易委员会(CFTC)主席Rostin Behnam说,这个想法可能标志着市场运作方式的“演变”。Behnam表示,他无法评论该机构何时可能对该提议作出回应,也无法评论该机构可能倾向于哪种方式。他说:“这是加密货币空间和传统金融的独特交叉点。我认为这是潜在的——我强调的是‘潜在的’——市场结构、创新和颠覆演变的另一个阶段。”
此前,FTX提议允许交易者直接向其美国比特币期货交易平台交纳保证金,而无需通过中间经纪商。(CoinDesk)[2022/10/15 14:28:47]
https://bscscan.com/address/0x584527ded17aceb3dc617c40b04e8fe9afc57096#code
Flipside Crypto任命DAO总经理,以发展公司DAO战略:8月23日消息,区块链分析公司Flipside Crypto聘请上市媒体集团Meredith Corporation首席战略官Daphne Kwon为DAO总经理,Daphne Kwon将推动发展公司的DAO战略。
今年4月份,Flipside Crypto以3.5亿美元估值完成由Republic Capital领投的5000万美元融资。[2022/8/23 12:43:45]
分别吧代码复制到两边,开始diff
这里我保存了diff结果,可以直接点这个link:https://www.diffchecker.com/VqaCP3DK
像结果中字符串的修改,或者//后的内容都可以忽略
如上图这种,可以忽略
Zilliqa发布支持游戏引擎Unity的软件开发包Zilliqia SDK:5月30日消息,Zilliqa游戏技术主管Valentin Cobelea宣布推出支持游戏引擎Unity的软件开发包Zilliqia SDK,旨在帮助更多游戏开发人员与Web3连接起来,这意味着游戏引擎Unity的3D开发人员将可以通过Unity SDK与Zilliqa区块链连接,继而构建一个“无摩擦的游戏生态系统”。Unity是目前最受欢迎的游戏引擎之一,包括精灵宝可梦(PokemonGo)、炉石传说、FallGuys等游戏都使用了Unity引擎。ZilliqaSDK的目标不仅要让开发人员更容易加入Zilliqa生态系统,还将帮助更多构建在其他区块链上的游戏轻松与Zilliqa网络集成。(Cryptoslate)[2022/5/30 3:50:02]
如果是原版添加的代码,土狗删除的,一般也不重要,重点是土狗和原版代码不同的地方:
上图为关键差异,土狗修改了原版的migrator方法,还增加了个一个叫做preUpgrade的函数。
看到这里,如果你对合约一无所知,安全期间,就可以直接关闭页面保平安了。
这里简单分析一下差异,首先migrate方法,这个是sushiswap继承的代码,原版代码就有将池子里钱掏空的可能性。
popcorn这里,新的preUpgrade方法,是public的,代表所有人都能调用,就是一个非常可疑的点,理论上在migrator设置为恶意地址的时候能够让migrator掏空所有的钱。
第二步:检查变量
点击土狗合约的这个按钮:
检查migrator,owner等变量:
可以看到migrator是0,owner是一个timelock地址,土狗的一种套路是,声称自己有timelock,给出了合约地址,但owner并不是timelock的地址,那明显就是局了。
当然timelock合约,也可以做小动作,所以也需要做diff操作,这里他的timelock没有问题,就不赘述了
那么完成了上面两步,很多资深矿工可能会觉得,timelock有的,合约变量没问题,虽然有代码存在风险,但是有timelock啊,没事,冲tmd,对低级土狗而言,可能确实就无风险了,但很可惜,popcornswap是一个略高级的土狗。看我下面分解盗币过程:
项目方通过调用:
https://bscscan.com/tx/0x38f75296e3343228c0309f8c99a24ca4f4812372f2b032f38ce25ac5a992b768
preUpgrade方法,让自己的地址有了合约里token的transferFrom权限
看前面的代码可以发现,preUpgrade确实又这个功能,但他只会给migrator这个权限,而migrator又是0,修改migrator需要经过时间锁,那么他是怎么做到的呢?
答案是:项目方在部署合约后,加timelock之前,把migrator改成了自己的地址,并通过preUpgrade提前获取了里面所有token的allowance,然后再改回migrator,添加时间锁。
因为这些tx混在项目方添加池子的tx中,普通人根本不可能去检查一个池子之前的每一个tx,所以popcornswap得以在2小时内盗取2mil的代币。
这个作案手法也引起了我的思考,目前并没有有效的工具,能够查出一个合约地址里,tokenallow给其他地址的情况,因此非常难发现问题。普通的用户,没有能力,也不太可能发现这个端倪,甚至我相信在本次事件中,一些对合约代码有所了解的土矿老司机也一并翻车。
那么popcornswap的解析就讲到哪里,下面是我个人的一些思考,以及私货
后续思考
本次作案手法曝光之后,相信未来的土矿也很有可能利用类似的手法进行盗币,而对普通用户而言防不胜防,事实上最近2天bsc上就有2个矿翻车,金额还都不小。
作为交易所公链,不管是bsc,还是heco,他们的核心竞争力是什么?是去中心化吗?
我个人认为不是的。
bsc,heco等,他们最大的优势应该是1.低手续费2.交易所公信力背书
以bsc为例,作为一个类似DPos的设计公链,跨链桥非去中心化,以及上面的大部分资产都是币安发放的情况下,即使代码开源,谈何去中心化?
个人认为,反而应该反其道行之,引入类似EOS的仲裁机制,最大程度的保证用户在链上的的财产安全才是生存之道。
本次popcornswap事件以及最新翻车的土矿,币安目前都还在踢皮球阶段,要求用户去报案或者说我们在监视黑客地址等等,而不是想办法帮用户挽回损失,长此以往,当土矿跑路越来越多的情况下,请问币安,谁还会去用BSC?
如果类似事件在Heco或者其他交易所公链发生,而他们拥有类似的安全机制,保证了用户的资产安全,这样大部分散户才敢放心的在上面继续使用,毕竟,你作为交易所背书的公链,优势不是,也不可能会是去中心化。
希望所有交易所公链技术团队三思,通过代码升级保证自己公链的安全性来差异化竞争,也许还不太晚。
原标题:Popcornswap合约解析+教你如何避免大部分土矿风险
作者:iNexusPro
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。