DeFi安全篇：合約留后門，無腦授權有風險｜烤仔星選_EFI:UNI

很多用戶在參與DeFi流動性挖礦的過程中，需要授權合約，但大家可能有所不知，如果你不小心授權了某些不靠譜的合約，錢包里的幣就危險了。

之前就有人在Twitter上討論過授權合約被釣魚的案例，因不小心授權某些開了后門的合約，有人一夜之間被盜走價值14萬美金的UNI。這個故事的主人公名叫JhonDoe，去年九月，他參與了Unicats收益農場，當時他對這個項目還蠻看好的，覺得它可能會成為下一個YFI。

接下來，Jhon打算質押UNI，然后收到了MetaMask錢包的提示，“需要授權合約無限使用UNI”。授權是在DeFi挖礦中是很常見的一個操作，所以他就沒細看。

Cardano創始人：DeFi將在兩年內成為最具競爭力的領域之一:11月26日消息，Cardano聯合創始人Charles Hoskinson表示，未來DeFi將在加密領域發揮關鍵作用。

例如去中心化身份（DID）對于遵守金融行動特別工作組的Travel Rule至關重要。如果客戶將資產從交易所轉移到自托管錢包中，他們可能無法訪問自己的加密貨幣。為了防止這種情況，可以在交易中添加去中心化身份。Charles Hoskinson認為，這可以在受監管實體和非受監管實體之間的交易層面上實現。

在評論DeFi的前景時，Charles Hoskinson表示，“未來24個月，它將成為行業內最具競爭力的領域之一。”（FXStreet）[2022/11/26 20:47:33]

質押UNI之后，挖出來一些MEOW，他覺得賺的差不多了，可以收菜收工了，就把資金都撤回了自己的錢包。撤走資金以后，Jhon以為錢都放在自己錢包里就可以高枕無憂了。殊不知，這個合約留了后門，一旦他授權了這個合約使用自己的token，即使他從挖礦池子中撤走資金，這個合約任何時候都能調用他的token。第二天醒來以后，Jhon發現自己一半的UNI都在未通過自己授權和簽署交易的情況下被轉走了。Jhon一下子就懵了，他錢包的私鑰從沒有泄露過，錢包也沒有漏洞，自己并沒有操作過轉賬，錢好好放在錢包里還能被轉走？排除了種種因素，推測出最有可能導致丟幣的原因是：以太坊網絡上最流行的token使用的ERC20標準設計中的一個已知但經常被忽略的漏洞。這個UniCats是個什么項目？為什么就能輕輕松松盜走別人錢包里的幣？這讓以后我們DeFi挖礦還敢挖嗎？“小貓釣魚”

DeFi借貸協議Alchemix已完成V2版本遷移:10月14日消息，DeFi借貸協議Alchemix昨日發推稱，已完成V1到V2版本頭寸的遷移。V1合約已被正式棄用，如果用戶仍在V1合約中持有頭寸，可以使用此前推出的遷移工具進行遷移。[2022/10/14 14:27:49]

UniCats是一個類似Yam和Sushiswap的DeFi衍生品項目，抄襲抄的赤裸裸的，連前端界面都和Sushiswap完全一樣，除了可以挖平臺代幣MEOW之外，還可以挖UNI等其它代幣，在2池中還可以質押UNIOW和UNI的LP代獲得MEOW代幣。為什么這個項目會選擇UNI呢，因為當時Uniswap發幣，很多Uniswap的老用戶都免費領到了一堆UNI空投，大家不用專門買UNI，會有比較低的參與門檻。JhonDoe是參加這個協議的用戶之一，當時DeFi的fomo情緒很濃，很多人都說“審計是為新手準備的”，所以進了這個坑也很難怪他。JHON先后在UniCats合約中質押了兩筆UNI，價值分別為$17K、$15K，質押的操作要求他準許UniCat合約對錢包里UNI代幣的無限制訪問。可能是因為Jhon看到大家都這么做，每個人都要一開始點擊授權合約，所以沒有對此有任何疑慮。一開始還挺好的，收成不錯，賺了一些MEOW。耕種一天之后，Jhon開始從Unicats合約中解押自己的UNI。鏈上記錄：https://etherscan.io/tx/0xaf90d9ff2e9dc63ef6c6082a18214f991cc52493b0cc5c47d84590faac798f42https://etherscan.io/tx/0x751ae0fba597496f057426672fb736efdc837aa0860f1d626b4e7dd6e9052c80收獲頗豐，又入袋為安，是一次很成功的經歷，他就放心地睡覺去了。之后的事情，我們在上文也提到了。之后項目方表示：“出了bug”、“被黑客入侵”、“項目方非常努力”...換句話說就是，他們希望這個項目有成功的未來，現在正在“把這個美好的項目留給社區”，然后就卷款刪號跑路了。除了Jhon還有一些用戶也被坑了，甚至有的人還沒來得及撤出資金。

DeFi新聞媒體平臺The Defiant完成140萬美元Pre-Seed輪融資，將構建Web3金融信息平臺:海外加密媒體The Defiant背后的公司Defiant Media Inc.宣布完成140萬美元Pre-seed輪融資，投資者包括IDEO CoLab Ventures、ParaFi Capital、IOSG Ventures、Blockchange Ventures、Axia8 Ventures、Defiance Capital、Youbi Capital、MetaCartel Ventures、Nima Capital、GBV Capital、Kenetic Capital、Mechanism Capital、Cluster Capital、Serotonin、FreeCo、Morningstar Ventures、Anthony Pompliano、Mariano Conti、Kendall Saville、Clara Bullrich、Will Price、Peter Pan、Andrew Keys、David Nage、Garrett MacDonald和Wong Joon Ian，顧問包括Cooper Turley和DeFi Dad。[2021/4/13 20:13:34]

亦來云基金會理事韓鋒：2021年DeFi會進一步爆發 將是2020年的十倍:金色財經現場報道，與時共創2020金色財經頒獎盛典12月26日在三亞舉行。在圓桌論壇“如何突破技術到應用的瓶頸？”環節，亦來云基金會理事韓鋒表示，DeFi在2021年會進一步爆發，規模將是是2020年的十倍。但目前DeFi主要還是在學銀行，還沒有銀行最核心的征信概念，這還是一個空白，下一步要打通鏈上和鏈下數據，解決征信問題。[2020/12/26 16:34:46]

開發人員跑路前在Tg群發的消息貪婪的“貓”

UniCats合約的有一個功能：setGovernance，有人讀的未經審核合同可能掠過這部分，因為它是相當流行的有智能的管理重點和管理地址合同。

setGovernance是開發者Whiskers用來直接從用戶帳戶中提取資金的功能。函數接收兩個參數：一個地址、一些數據，需要將_governance設置為UNItoken地址，并為數據傳遞函數transferFrom，然后會觸發UNI合約，要求它代表用戶將資金轉移到UniCats合約。實際上，transferFrom的調用者是UniCats合約，像剛才我們提到的Jhon，他已經批準合約隨意使用自己所有的UNI資產，合約會將Jhon的UNI資產轉移到合約中相同的trasnferFrom，然后從他的錢包中盜取資金。當UNI合約收到此項調用時，會嘗試這項請求不會遇到任何錯誤。所有的轉賬都會通過，因為Jhon確實授權了合約來處理他的資金。資金從Jhon的帳戶中轉到UniCats合約中，然后再轉給Whisker。所以關鍵點就在于Jhon對UniCats合約的授權。除了Jhon之外，這個詐騙合約也有其他一些受害者，比如另一位用戶也是通過完全相同的過程損失了1萬個的UNI，他質押在UniCats中的資金全被刪除了，根本無法提現。

當前以太坊上Defi協議總鎖倉量約為126.1億美元:據歐科云鏈OKLink數據顯示，截至今日18時，當前以太坊上Defi協議總鎖倉量約合126.1億美元，環比下降4.39%。其中排名前三的分別是Uniswap V2 29.3億美元（+0.34%），Maker 19.9億美元（+1.81%），Curve 14.4億美元（-1.45%），Aave 11.5億美元（+9.96%）以及WBTC 11.3億美元（+3.61%）。[2020/10/13]

有一個信息大家需要知道，即使你地址余額為0，這個無限批準的風險都還在，也就是說UniCats隨時都能把你的錢拿走。只要你沒有撤消批準，或者這個賬戶/地址之后完全廢棄再也不用了，就會隨時會被攻擊。在盜取了用戶的資金之后，UniCats項目方將UNI換成ETH，然后將ETH被轉移到Whiskers控制的帳戶中，接著又以每次100ETH的方式存入TornadoCash。練習釣魚

在UniCats項目方發起攻擊之前，Whiskers還做過一些鏈上的練習，創建了一個單獨的合約和管理員帳戶，以確保黑客攻擊能夠正常工作。在此交易中，Whiskers嘗試使用相同的setGovernance調用，直接從合約中提走少量UNI，從合約中獲取2.75UNI。這個是第一階段，UniCats合同本身的資金被耗盡。后來，該帳戶執行另一種轉賬練習，它濫用了baDAPProve漏洞，由Tornado現金資助的帳戶將少額UNI直接轉換為ETH。這些練習運行了幾個小時之后，才發起了正式的攻擊。正式攻擊的方式和練習的方式基本上是差不多的，都是分兩個階段。練習攻擊的記錄：https://etherscan.io/address/0xcdd37ada79f589c15bd4f8fd2083dc88e34a2af2回顧曾經與Unicats進行過互動但尚未拒絕UniCats使用其令牌的每個帳戶，在它們這樣做之前都仍然很脆弱。即使是那些只批準了令牌但從未實際發送過任何資金的人。在直接抽走UniComp合約的同時，whiskers能夠在Uniswap、SushiSwap和Balancer上獲取17KUNI以及押注LP代幣的UNI/ETH。。在第二階段，使用baDAPProve漏洞，Whiskers總共撈了6萬UNI。這些錢是從大概30個賬戶中取出來的，損失最大的是JhonDoe，總共損失了37KUNI，當時價值約12萬美元。從他們賬戶中拿走的資產比他們原本在協議中質押要多，因為Jhon的UNI并不是全部質押進合約中挖礦了。每一個曾經和Unicats交互過，并且授權UniCats使用自己代幣的賬戶都隨時有被攻擊的風險，哪怕僅僅只是授權過但從沒有轉過資金。你可能會覺得這個故事中的JhonDoe很笨，但其實他在DeFi領域還挺有經驗的，他的地址有超過1600筆交易。這是一場很“完美”的攻擊，需要無限使用的授權，很少有人真正了解其中的含義。在大環境的fomo情緒下，每一個投資者都夢想暴富，渴望自己找到下一個YFI，黑客就是從中利用了這些因素以及這些系統經常試圖隱藏的復雜性達到目的。如何保護自己免受攻擊

我建議，參與DeFi時，只授權可信任的合約，如果是去體驗新項目，用的資金要控制在自己能承受的最大損失之內，以將風險最小化。這次攻擊的根源在于ERC20的工作方式以及它的一些限制，這個限制僅存在于ERC20協議中，其它的協議標準還沒有這個問題，但是由于ERC20仍然是最受歡迎的token標準，所以大家有必要了解一些策略來避坑：首次與未知的DeFi合約交互時，要先做研究。諸如MetaMask這樣的錢包有一個功能是，可以自己設置最大批準的金額。如果你不完全信任一個DeFi合約時，就可以提前進行設置，把風險控制在自己能夠承擔的范圍之內。

如果你已經授權了一些DeFi合約，而且有一些顧慮，不太確定會不會有風險，就可以用工具撤銷授權，我給大家介紹幾個工具：https://approved.zonehttps://revoke.cashhttps://tac.dappstar.io/#/未來DeFi和ERC20都會繼續發展壯大，建議大家好好學習，了解清楚這些復雜的金融系統，保護好自己的錢袋子，注意安全！Reference：zengo.com

Tags：UNIDEFEFIDEFIUnique NetworkDEFILANCER價格DeFi Bidsdefi幣官網

KuCoin