時值國慶大假期間,加密錢包初創公司ZenGo的研究員亞歷克斯·馬努斯金爆料稱,有用戶一夜之間損失了價值14萬美元的Uniswap代幣UNI,而這與名為UniCats的“收益農場”有關。據了解,一些參與DeFi提供流動性挖礦賺取收益的用戶最近發現了UniCats這個新農場。從界面來看,UniCats類似YamFinance和SushiSwap;收益方面,不僅可挖礦本地MEOW代幣,同時還可挖出包括UNI在內的其它代幣。界面友好,產能不賴,資產入場。當用戶準備提供流動性時,UniCats彈出提示框,要求獲取消費限制許可,而該許可的限制是:無限。用戶可能怎么也不會想到,在這個無限消費的許可的背后,UniCats開發者早已暗置了一個直通自家資產的“后門”。用戶的資產可由此被悄悄轉移至開發者指定的地址。就這樣,有大膽且不幸的“農夫”瞬間被竊取了價值14萬美元的UNI,而其他用戶也有不同程度的損失。盜竊“現場”
SOS在Uniswap上24小時交易量超6700萬美元:12月25日消息,據Uniswap數據顯示,SOS24小時交易量已達6731萬美元。
SOS是NFT社區OpenDAO向全體OpenSea交易用戶空投的Token,此前在OpenSea進行過交易的用戶皆可領取。
據悉,SOS總供應量為100萬億枚,其中50%將用于向OpenSea用戶進行空投,20%用于質押獎勵,20%將用于OpenDAO組織的維護,10%將用于流動性挖礦獎勵。[2021/12/25 8:03:02]
那么,UniCats開的這個“后門”,又是如何對用戶進行竊金操作的呢?1、盜竊者首先將UniCats的owner權限轉移給一個合約地址。2、盜竊者通過獲得owner權限的合約地址調用UniCats的setGovernance方法。3、setGovernance函數調用對于代幣的transferFrom函數,將用戶資產轉移到盜竊者地址。第2、3步為此次盜竊的核心步驟,如下圖所示:
Uniswap流動性挖礦提案調整質押池UNI分配:在“共識確認”階段,Uniswap延長流動性挖礦提案各質押池UNI分配做了細微調整。USDC/ETH和USDT/ETH質押池依然保持每月125萬UNI的分配,WBTC/ETH每月UNI分配調整為167萬UNI,而DAI/ETH質押池縮減為每月83萬UNI,兩個月分配總量1000萬UNI和上一階段保持不變。目前投票正在進行當中,將持續至11月29日,目前支持率為80.6%。[2020/11/25 22:03:56]
8687.4萬UNI代幣已被領取,占1.5億空投總量的57.91%:據歐科云鏈OKLink數據顯示,截至今日11時,已有至少143808個以太坊地址領取了Uniswap的UNI代幣獎勵,共計已申領約8687.4萬UNI,占1.5億空投總量的57.91%。同時當前約有2465個地址已經申請領取(Claim)但仍在等待交易確認。
此次空投共有25.17萬個地址有資格領取UNI代幣獎勵,即仍有約10.7萬個地址尚未領取UNI代幣。[2020/9/18]
“后門”分析
UniCats合約中的setGovernance函數是實現盜竊的關鍵。通過調用此函數,UniCats合約即可作為調用者,能夠向任意合約發起任意調用。
Uniswap交易量因UBOMB資金池增長超14倍:數據顯示,去中心化交易協議Uniswap昨日總交易量增長超過14倍,至1.03億美元。最大的交易來源是ETH和UBOMB交易對,24小時交易量突破9000萬美元,但是從所有單筆交易來看,成交量并不大,所以產生如此大交易量的原因未知。
UBOMB是UniBombs項目的代幣,根據官網顯示,這是一個具有通縮機制的流動性池。(DeBank)[2020/6/18]
據上圖所示,調用該方法可輸入兩個參數,即一個地址類型的“_governance”和一個bytes類型的“_setData”。而函數的governance.call(_setupData)其實是表示向參數“_governance”地址發起一筆交易,其calldata為參數“_setData”。如此一來,只要有權限調用這個方法,便可以借合約的身份發起任意交易。在進行代碼編寫時,其注釋表示此函數是一個修改治理合約的函數,如下圖所示:
事實上,根據成都鏈安的審計經驗,修改治理合約通常并不需要調用call。而且,UniCats在對用戶資產進行盜竊時,還刻意多次變換owner地址,如下圖所示:
不僅如此,資產在轉出后還立刻被流入混淆器,如下圖所示:
如此操作,老練狠辣、一氣呵成,因此基本可以斷定,該項目就是一個徹頭徹尾的騙局,為的就是釣魚詐騙而上線。令人細思極恐的是,在本案例中盜竊者調用了transferFrom方法對用戶的資產實施轉賬,這就使得即便存在于錢包的用戶資產,也可能面臨被盜的風險。由于在合約授權時發起的是無額度限制授權,因此,一旦授權許可通過,合約就有權轉移用戶所有的資產。成都鏈安鄭重提醒,用戶在進行合約授權時,使用多少,授權多少。這樣操作的話,即便不幸遭遇類似欺詐性質的合約,也不會殃及錢包中的本金。如果用戶不太清楚自己的授權情況,可以通過以下工具進行查詢。1、https://approved.zone2、https://revoke.cash3、https://tac.dappstar.io/#/小結
于DeFi領域,用戶獲得新幣的門檻大大降低,通過組合資產投資的確可能在短期內實現大規模的增值收益。但是,用戶資產可能面臨的風險狀況就變得更為復雜,在這點上必須引起高度注意。在DeFi這個“黑暗森林”,大膽冒險是禁忌一般的行為。用戶資產不僅要受到客觀行情波動的影響,質押時是否遭受“清算”也無法預知,而合約中的人為陷阱更是無處不在。尤其是,不少DeFi項目都存在代理轉賬的邏輯,多數項目方也會直接要求用戶授權最大值。也就是說,用戶授權后,某些不良合約將利用留“后門”的手段,反噬用戶所持的全部資產。因此,對于用戶而言,來自合約的一切許可請求都要格外注意,寧理性退場,不冒然入坑,時刻警惕惡意項目方的此類“后門”陷阱。
編者按:本文來自巴比特資訊,作者:metamask,編譯:隔夜的粥,星球日報經授權發布。10月14日消息,MetaMask,這一擁有過百萬用戶的DeFi錢包商在今日正式推出了DEX聚合服務Met.
1900/1/1 0:00:0026日知名交易所庫幣疑似被盜因為行業關注。但關于誰在實施盜幣,目前仍然存疑。26日上午9點,Twitter等社交媒體突然有人爆料,庫幣被盜超過1.5億美金,包括2000萬Usdt、1.1萬個以太.
1900/1/1 0:00:00文|秦曉峰編輯|郝方舟制圖|安安出品|Odaily星球日報 艱難的2020,已經過去了四分之三。從一季度的全球金融市場崩潰暴跌,到二季度的反彈復蘇,再到三季度各主要金融市場回歸強勁態勢.
1900/1/1 0:00:00編者按:本文來自加密谷Live,作者:JuliaMagas,翻譯:Olivia,Odaily星球日報經授權轉載.
1900/1/1 0:00:00在美國SEC明確把通證分為工具型通證和證券型通證之后,在2018年時,美國市場中就開始出現技術平臺提供將資產進行通證化的功能。這些平臺如Polymath和Securitize等等.
1900/1/1 0:00:00編者按:本文來自Cointelegraph中文,作者:ANTóNIOMADEIRA,Odaily星球日報經授權轉載.
1900/1/1 0:00:00