时值国庆大假期间,加密钱包初创公司ZenGo的研究员亚历克斯·马努斯金爆料称,有用户一夜之间损失了价值14万美元的Uniswap代币UNI,而这与名为UniCats的“收益农场”有关。
据了解,一些参与DeFi提供流动性挖矿赚取收益的用户最近发现了UniCats这个新农场。从界面来看,UniCats类似YamFinance和SushiSwap;收益方面,不仅可挖矿本地MEOW代币,同时还可挖出包括UNI在内的其它代币。
慢雾安全预警:Nacos出现远程代码执行漏洞攻击案例,请相关方及时升级:金色财经报道,据慢雾区消息,Nacos 出现远程代码执行漏洞攻击案例。Nacos 是 Alibaba 开源的一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台,帮助用户快速实现动态服务发现、服务配置、服务元数据及流量管理。Nacos 在处理某些基于 Jraft 的请求时,采用 Hessian 进行反序列化,但并未设置限制,导致应用存在远程代码执行(RCE)漏洞。其中,1.4.1 盗窃“现场”
那么,UniCats开的这个“后门”,又是如何对用户进行窃金操作的呢?
1、盗窃者首先将UniCats的owner权限转移给一个合约地址。
2、盗窃者通过获得owner权限的合约地址调用UniCats的setGovernance方法。
动态 | Telegram“搬砖套利”最新案例 两用户中招被521个ETH:近期不断有不法分子利用“搬砖套利”概念进行,这类在Telegram中屡试不爽。据CoinHunter.io监测,Telegram\"搬砖套利\"局再度出现两名新的受害者,两用户共被取521个ETH。不法分子谎称可按1:88的比例用ETH兑换HT,诱“小白”用户将ETH转入者账户0x106a6cb5…及0x5655A46…中用以兑换虚假HT(虚假HT合约地址:0x87091cb…;0x9288db9…)。目前,该者已将资金转移至新地址0x5ad51e…及0xdFd78…,CoinHunter将持续监控追踪资金进一步流向。CoinHunter在此提醒广大用户所有与火币相关的活动信息均应以火币官网公告为主,用户不应轻信第三方,以免资产遭遇损失。[2019/7/23]
3、setGovernance函数调用对于代币的transferFrom函数,将用户资产转移到盗窃者地址。
动态 | 贵州市场监督管理局发布不正当竞争典型违法案例 包含利用区块链进行虚假宣传:据贵阳晚报报道,贵州省市场监督管理局发布不正当竞争典型违法案例,其中第六项为中联氢能区块链大数据产业应用有限公司虚假宣传案。当事人在违规发行具有代币功能的氢能链(另案处理)商业活动中,通过现场讲师讲座、网络宣传(百度贴吧)等方式,对NED氢能链产品进行的宣传中,夸大氢能链产品功能、销售状况及未来盈利空间,误导消费者。观山湖区市场监管局认为,当事人的行为是《反不正当竞争法》第八条规定禁止的虚假宣传。[2018/12/25]
第2、3步为此次盗窃的核心步骤,如下图所示:
“后门”分析
UniCats合约中的setGovernance函数是实现盗窃的关键。通过调用此函数,UniCats合约即可作为调用者,能够向任意合约发起任意调用。
据上图所示,调用该方法可输入两个参数?,即一个地址类型的“_governance”和一个bytes类型的“_setData”。而函数的governance.call(_setupData)其实是表示向参数“_governance”地址发起一笔交易,其calldata为参数“_setData”。如此一来,只要有权限调用这个方法,便可以借合约的身份发起任意交易。
在进行代码编写时,其注释表示此函数是一个修改治理合约的函数,如下图所示:
事实上,根据成都链安的审计经验,修改治理合约通常并不需要调用call。而且,UniCats在对用户资产进行盗窃时,还刻意多次变换owner地址,如下图所示:
不仅如此,资产在转出后还立刻被流入混淆器,如下图所示:
如此操作,老练狠辣、一气呵成,因此基本可以断定,该项目就是一个彻头彻尾的局,为的就是钓鱼而上线。
令人细思极恐的是,在本案例中盗窃者调用了transferFrom方法对用户的资产实施转账,这就使得即便存在于钱包的用户资产,也可能面临被盗的风险。由于在合约授权时发起的是无额度限制授权,因此,一旦授权许可通过,合约就有权转移用户所有的资产。
成都链安郑重提醒,用户在进行合约授权时,使用多少,授权多少。这样操作的话,即便不幸遭遇类似欺诈性质的合约,也不会殃及钱包中的本金。如果用户不太清楚自己的授权情况,可以通过以下工具进行查询。
1、https://approved.zone
2、https://revoke.cash
3、https://tac.dappstar.io/#/
小结
于DeFi领域,用户获得新币的门槛大大降低,通过组合资产投资的确可能在短期内实现大规模的增值收益。但是,用户资产可能面临的风险状况就变得更为复杂,在这点上必须引起高度注意。
在DeFi这个“黑暗森林”,大胆冒险是禁忌一般的行为。用户资产不仅要受到客观行情波动的影响,质押时是否遭受“清算”也无法预知,而合约中的人为陷阱更是无处不在。
尤其是,不少DeFi项目都存在代理转账的逻辑,多数项目方也会直接要求用户授权最大值。也就是说,用户授权后,某些不良合约将利用留“后门”的手段,反噬用户所持的全部资产。
因此,对于用户而言,来自合约的一切许可请求都要格外注意,宁理性退场,不冒然入坑,时刻警惕恶意项目方的此类“后门”陷阱。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。