就在刚刚,YFII通报了chick.finance合约代码的风险,不过其中提到的“用户充值的所有代币,开发者都有权限提取”这句话其实并不是完全准确的,因此在这里我们需要给大家做下更详细的描述:
该合约恶意代码的问题并不在于“开发者事发后能提取用户存在合约中的代币”,而在于对于任何给该合约授权了的用户,开发者都能把你钱包里的代币一扫而空,这正是比特派安全实验室在之前的那篇《以太坊Defi生态当前最大的安全隐患》一文中提到的“滥用合约授权问题”。
Compound关于提高市场借贷上限的提案022已通过:9月14日消息,Compound Labs官方推特宣布,提案022通过,并在2天的等待期后执行。治理过程可以根据需要对市场设定借款上限,目前还没有设定限制。此前9月9日消息,Compound社区已提交COMP提案022,该提案计划提高市场借贷上限。[2020/9/14]
恶意代码是如下这段:
DMM关于增加流动性挖矿功能的提议通过并即将上线:9月7日,DeFi货币市场协议DMM去中心化自治组织DMM DAO宣布,关于增加流动性挖矿功能的提议现已获得通过,将在两日后上线。mToken持有者将可通过质押mDAI、mETH、mUSDC 或mUSDT获得治理代币DMG。
据此前报道,8月初,DMM基金会启动社区治理仪表盘。该仪表盘主要包括四个页面,包括兑换、质押、流动性挖矿以及投票。[2020/9/8]
functionstartReward(address_from,uint256amount)externalpub1ic{
海银资本王煜全:关于比特币和区块链的四个“新观点”:著名投资人海银资本创始人王煜全在周末的《得到》前哨科技的专栏,提到了他关于比特币和区块链的新观点,他表示:第一:区块链的革命性确实很大;第二:区块链的普及性其实很小;第三:区块链的创业机会其实很小;第四:区块链的创业者现在看起来是充满浮躁的。[2018/3/6]
????weth.safeTransferFrom(_from,owner(),amount);
??}
开发者对故意拼写错误的pub1ic做了如下约束
modifierpub1ic(){
????require(isOwner(),"Ownable:callerisnottheowner");
????_;
??}
上述代码的逻辑很简单,干的就是那些给这个合约授权了的用户,合约Owner都能把你的代币转给Owner,就这么简单。
这其实是DeFi生态里非常严重的恶性事件,理应引起全行业的重视,因为这次可能恶意开发者只是用拼写错误的方式来试图蒙大家,然后很幸运的第一时间被发现了,那下次呢?是不是可以写出逻辑复杂并且很难被看出来的漏洞,静静的等待上线把各位的钱包一扫而空呢?要再次强调的是,这个例子中,您损失的可不仅仅是您存入合约的资产,而是你钱包里的全部资产,明白了吗?
我们之前在向全行业提出“滥用合约授权”问题的时候,就曾预计到可能会有开发者作恶的情况出现,没想到这一天来的这么快,这次代码伪装的比较蠢,那下次呢?下次DeFi矿工们是否还能躲得过去了呢
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。