吴说作者|ColinWu
本期编辑|ColinWu
近日,多名流动性“矿工”对吴说区块链表示,币安智能链上又一个DeFi“土矿”popcornswap跑路,项目方卷走近48000个BNB,价值约215万美金。数日内还有三个项目跑路。目前SharkYield跑路疑似带走了6000个BNB。
币安表示安全团队在“连夜跟进”popcornswap项目,但并不一定能追回成功。币安此前宣传文章也表示追回是小概率事件,希望用户务必谨慎投资,选择优质的头部项目参与。
此次popcornswap跑路事件出现两个问题:
1、矿工反馈,币安表示USDT、BUSD可以冻结,但BNB无法冻结,因此跑路项目开始大范围使用BNB。
2、币安曾经表示,未来币安智能链社区会为部署上来的优质项目陆续提供审计服务,未来会有标示将审计与未审计完成的项目进行区分,以供用户参考。但是直到目前,该审计标示没有出现,可能是审计机构的昂贵费用与时长的阻碍。
币安此前的反馈是,BSC是与以太坊一样的公链,不应该为上面的项目负责。何一曾经表示:币安智能链项目又不是币安发的,以太坊上挖矿赔钱怎么不找V神索赔?
全球小费打赏文化平台TIP已报名参加币安智能链BUIDL奖励计划:据官方消息,经过初步的筛选,TIP已成功报名参与MVB计划,成功进入第二阶段。
据悉,TIP是用于构建基础设施的项目,同时在在TVL与流动性、日活跃用户、成熟的用户社区、Certik安全审计等方面也表现不错。[2022/3/16 14:00:45]
但另一方面币安又在宣传帮助用户追回资产。例如自动做市商的“土矿”项目WineSwap跑路,币安安全团队帮助用户追回了损失资金的99.9%,共计超过34.4万美元。币安也表示,像这样的追索往往需要耗费大量的人力物力,而往往这些追查的线索会中断,能像这次追讨成功可以说是万里无一。
由此币安就会陷入一个尴尬的境地:对于跑路项目究竟是管,还是不管?用户也会对此有疑问,币安究竟管不管?
BSC上项目的逻辑是,发展好的项目CZ会转发推特,然后引起关注逐渐壮大。相较之下火币生态链中心化程度更高,会列出报名项目,跑路情况较少。币安智能链更多希望“不做裁判员”。
这也可以理解,币安智能链的国际化程度更高,对于习惯DAO社区文化的海外用户而言,他们可能更能理解BSC的做法。海外社区非常警惕中心化的管理,因此币安轻易冻结BNB资产,也可能给海外用户带来担忧。哪怕是针对黑客行为冻结,也需要先有的要求。
币安智能链上线稳定币TUSD:据官方最新消息,币安智能链(BSC)现已上线全球最透明, 完全抵押并经链上实时验证的美元稳定币TUSD,进一步丰富BSC稳定币生态版图。币安Binance主站在已支持ERC20和BEP2类型TUSD的基础上新增了BEP20-TUSD充提入口,以方便用户全面参与BSC生态,欢迎用户前来体验。?
据悉,稳定币TrueUSD(TUSD)是全球首个经独立第三方机构审计验证、可 1:1 兑换美元的数字资产,目前已上线70+中心化交易所,在数十个DeFi交易及借贷平台中流通。稳定币TUSD通过与多家国际知名银行合作、秉承托管账户机制以及第三方资金验证,减少交易风险,确保交易透明,为代币持有者提供合法可靠的数字美元资产,目前全球流通量已超过三亿枚。[2021/4/26 21:01:04]
火币因为项目与用户绝大多数是中国人,这也决定了他们必须选择中心化的管控,据说火币对于跑路项目有详细的应急方案,几个小项目也第一时间得到了处理。
对于币安来说,BSC上跑路情况确实有日渐严重的倾向,依靠制度治理可能是唯一的选择。但目前为止,我们还没有看到币安智能链制度上改进的动作。
参考币安智能链的野望与尴尬:超越以太坊还是成为孙宇晨?
Elysia(爱立厦)已上线币安智能链:据官方消息,房地产区块链项目Elysia(爱立厦)已于3月31日上线币安智能链新产品。
据悉,韩国房地产区块链项目Elysia(爱立厦)一直在使用以太坊公链发行房地产代币,并使用智能合约进行交易和结算。
Elysia(爱立厦)作为一个区块链房地产投资平台,将交易成本保持在最低是至关重要的,公链的相关手续费用不应超过房地产代币价值的0.1%。经过一个月的测试,Elysia(爱立厦)在使用币安智能链后,将相关房地产代币的交易手续费降低80%,交易速度也变得更快。[2021/4/1 19:37:18]
以下内容为iNexusPro独家授权吴说区块链发布,内容稍作编辑
土矿一般来讲,抽走资金一般这几个步骤:
1、通过高APY吸引你冲动梭哈,毕竟高APY都是真金白银支撑的,收益这么高大户早来了,正所谓的收益越高,风险越大。
2、通过一些“所谓的”安全措施让你觉得风险很低。
3、盗取资金之后马上换为非erc代币或者无法冻结的代币,然后等待混币机会逃走。
看到了这个步骤,你应该明白了,如果能够做到:
1、不开源的土矿一律不碰,不管他APY写得多么诱人
Chris David:BSC.TOOLS让币安智能链(BSC)上的交易更加专业:3月17日晚,BSC.TOOLS创始人Chris David 做客抹茶社区,介绍了BSC.TOOLS项目相关内容。BSC.Tools是一套专注于币安智能链(BSC)去中心化交易所的交易和数据分析工具,支持跟踪实时数据分析、创建交易策略以及赚取利润,为机制的BSC交易体验而打造。
Chris David表示:“我们开发了首个去中心化金融(DeFi)界面,旨在提升BSC上的交易体验。我们的主要目标是为交易用户和投资者提供监控您最喜爱的BSC交易对并制定高级交易策略的可能性。”
BSC.Tools与交易用户分享基于BSC从DeFi交易所的链上和实时交易数据。通过这种方式,用户可以获得历史数据、K线图和每个平台上的交易记录。[2021/3/17 18:54:04]
2、开源的土矿,如果要参与,一定是在diff合约,检查变量参数之后,少量资金参与。
3、那么相信你能规避大部分风险,下面简单讲一下怎么diff合约,怎么检查参数,以及一些衍生的思考。
第一步:diff
这里以在线对比工具https://www.diffchecker.com/为例
币安智能链项目Bantiample团队已砸盘跑路,套现3000 BNB:9月19号,币安智能链上的项目Bantiample团队已砸盘套现3000个BNB跑路,目前团队的主要开发者已经删除Telegram账号,项目代币BMAP单日跌幅超过90%。据项目方描述,BMAP是一种类似AMPL仿盘,用户每参与一次交易就会让总量缩减1%。但实际只是普通代币,并没有项目方所描述的功能,只是利用AMPL项目热点进行。(深链财经)[2020/9/19]
注意一点,diff的合约需要是你真实要转币进去的合约地址
首先拿到原版的MasterChef代码:
https://bscscan.com/address/0x73feaa1ee314f8c655e354234017be2193c9e24e#code
接着这里以popcornswap为例:
https://bscscan.com/address/0x584527ded17aceb3dc617c40b04e8fe9afc57096#code
分别吧代码复制到两边,开始diff
这里我保存了diff结果,可以直接点这个link:https://www.diffchecker.com/VqaCP3DK
像结果中字符串的修改,或者//后的内容都可以忽略
如上图这种,可以忽略
如果是原版添加的代码,土狗删除的,一般也不重要,重点是土狗和原版代码不同的地方:
上图为关键差异,土狗修改了原版的migrator方法,还增加了个一个叫做preUpgrade的函数。
看到这里,如果你对合约一无所知,安全期间,就可以直接关闭页面保平安了。
这里简单分析一下差异,首先migrate方法,这个是sushiswap继承的代码,原版代码就有将池子里钱掏空的可能性。
popcorn这里,新的preUpgrade方法,是public的,代表所有人都能调用,就是一个非常可疑的点,理论上在migrator设置为恶意地址的时候能够让migrator掏空所有的钱。
第二步:检查变量
点击土狗合约的这个按钮:
检查migrator,owner等变量:
可以看到migrator是0,owner是一个timelock地址,土狗的一种套路是,声称自己有timelock,给出了合约地址,但owner并不是timelock的地址,那明显就是局了。
当然timelock合约,也可以做小动作,所以也需要做diff操作,这里他的timelock没有问题,就不赘述了
那么完成了上面两步,很多资深矿工可能会觉得,timelock有的,合约变量没问题,虽然有代码存在风险,但是有timelock啊,没事,冲tmd,对低级土狗而言,可能确实就无风险了,但很可惜,popcornswap是一个略高级的土狗。看我下面分解盗币过程:
项目方通过调用:
https://bscscan.com/tx/0x38f75296e3343228c0309f8c99a24ca4f4812372f2b032f38ce25ac5a992b768
preUpgrade方法,让自己的地址有了合约里token的transferFrom权限
看前面的代码可以发现,preUpgrade确实又这个功能,但他只会给migrator这个权限,而migrator又是0,修改migrator需要经过时间锁,那么他是怎么做到的呢?
答案是:项目方在部署合约后,加timelock之前,把migrator改成了自己的地址,并通过preUpgrade提前获取了里面所有token的allowance,然后再改回migrator,添加时间锁。
因为这些tx混在项目方添加池子的tx中,普通人根本不可能去检查一个池子之前的每一个tx,所以popcornswap得以在2小时内盗取2mil的代币。
这个作案手法也引起了我的思考,目前并没有有效的工具,能够查出一个合约地址里,tokenallow给其他地址的情况,因此非常难发现问题。普通的用户,没有能力,也不太可能发现这个端倪,甚至我相信在本次事件中,一些对合约代码有所了解的土矿老司机也一并翻车。
后续思考
本次作案手法曝光之后,相信未来的土矿也很有可能利用类似的手法进行盗币,而对普通用户而言防不胜防,事实上最近2天bsc上就有2个矿翻车,金额还都不小。
作为交易所公链,不管是bsc,还是heco,他们的核心竞争力是什么?是去中心化吗?
我个人认为不是的。
bsc,heco等,他们最大的优势应该是1.低手续费2.交易所公信力背书。
以bsc为例,作为一个类似DPos的设计公链,跨链桥非去中心化,以及上面的大部分资产都是币安发放的情况下,即使代码开源,谈何去中心化?
个人认为,反而应该反其道行之,引入类似EOS的仲裁机制,最大程度的保证用户在链上的的财产安全才是生存之道。
欢迎阅读吴说报道精选:主流交易所独家动态、比特大陆系列、监管与冻卡系列、Filecoin系列、币圈乱象揭弊、矿场监管动态等
风险提示
▼▼▼
根据银保监会等五部门发布的《关于防范以“虚拟货币”“区块链”名义进行非法集资的风险提示》,请大家树立正确的投资理念,本文内容报道不对任何经营与投资活动推广进行背书,请投资者提高风险防范意识。_转载请注明来源,否则将追究法律责任。_
免责声明:作为区块链信息平台,本站所发布文章仅代表作者个人观点,与链闻ChainNews立场无关。文章内的信息、意见等均仅供参考,并非作为或被视为实际投资建议。
本文来源于非小号媒体平台:
吴说区块链real
现已在非小号资讯平台发布217篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/9631438.html
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
上一篇:
QT拳头回归给所有人重新选择财富的机会
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。