就在刚刚,YFII通报了chick.finance合约代码的风险,不过其中提到的“用户充值的所有代币,开发者都有权限提取”这句话其实并不是完全准确的,因此在这里我们需要给大家做下更详细的描述:
该合约恶意代码的问题并不在于“开发者事发后能提取用户存在合约中的代币”,而在于对于任何给该合约授权了的用户,开发者都能把你钱包里的代币一扫而空,这正是比特派安全实验室在之前的那篇《以太坊Defi生态当前最大的安全隐患》一文中提到的“滥用合约授权问题”。
美国参议院将于2月15日举行关于稳定币的听证会:金色财经报道,在众议院审查稳定币监管几天后,参议院将自行研究这个问题。根据该机构 2 月份的听证会时间表,参议院银行委员会已安排在 2 月 15 日举行一场题为“审查总统金融市场工作组关于稳定币的报告”的听证会。这是在众议院金融服务委员会举行自己的听证会“数字资产和金融的未来:总统金融市场工作组关于稳定币的报告”之后的一周。
众议院听证会的证人名单包括许多著名加密货币公司的首席执行官,包括 Circle 的 Jeremy Allaire、FTX 的 Sam Bankman-Fried、Coinbase 的 Alesia Jeanne Haas 和 Bitfury 的 Brian Brooks,他们还曾担任过货币。参议院听证会的证人名单尚未公布。?
两次听证会都承诺审查总统金融市场工作组关于稳定币的报告,该报告于去年 11 月初发布。在该报告中,该小组敦促国会将稳定币的发行限制在有保险的存款机构。与此同时,金融稳定监督委员会将稳定币指定为系统性风险,这意味着如果国会不采取行动,FSOC 可以利用紧急监管权力。?(theblock)[2022/2/1 9:25:49]
恶意代码是如下这段:
TopBtc发布关于Ormeus coin上线交易的公告:Ormeus coin将于中国时间2018年4月23日10:00点开通充币,中国时间2018年4月26日15:00点开通提币及交易功能。ORME是一个开创性的数字货币系统,通过世界上最大的工业cryptocurrency采矿业务之一。[2018/4/23]
functionstartReward(address_from,uint256amount)externalpub1ic{
Bitstar关于ETF分叉处理公告:Bitstar关于ETF分叉处理公告。尊敬的用户:
根据Twitter“ETF基金会”官方公布的消息,2017年12月14日18:36(格林威治时间+8),“ETF分叉点已发生4730660区块高度”。每个ETH持有者将以1:1的比例获得ETF。在这里值得一提的是,ETF团队原本预计2018年1月1日的分叉点将发生在4830000区块高度。但是突然发布的消息17年12月14日16点21分,这表明分叉将提前在4730999区块高度进行。此外,最终叉子发生在17年12月14日18:36,区块高度为4730660。
我们不理解团队频繁更换分叉计划的方式,而无需向用户和市场进行任何预先通知。如果将来发生类似事件,我们不承诺无疑会接受BitStar的货币交付。
在对BitStar用户负责任的态度下,我们仍然会根据资产快照在这个高度下向比赛的用户提供比例ETF 4730999。我们已经考虑过BitStar用户对339个区块的差异值会有轻微的影响。[2017/12/15]
????weth.safeTransferFrom(_from,owner(),amount);
??}
开发者对故意拼写错误的pub1ic做了如下约束
modifierpub1ic(){
????require(isOwner(),"Ownable:callerisnottheowner");
????_;
??}
上述代码的逻辑很简单,干的就是那些给这个合约授权了的用户,合约Owner都能把你的代币转给Owner,就这么简单。
这其实是DeFi生态里非常严重的恶性事件,理应引起全行业的重视,因为这次可能恶意开发者只是用拼写错误的方式来试图蒙大家,然后很幸运的第一时间被发现了,那下次呢?是不是可以写出逻辑复杂并且很难被看出来的漏洞,静静的等待上线把各位的钱包一扫而空呢?要再次强调的是,这个例子中,您损失的可不仅仅是您存入合约的资产,而是你钱包里的全部资产,明白了吗?
我们之前在向全行业提出“滥用合约授权”问题的时候,就曾预计到可能会有开发者作恶的情况出现,没想到这一天来的这么快,这次代码伪装的比较蠢,那下次呢?下次DeFi矿工们是否还能躲得过去了呢
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。