UNI:DeFi安全篇：合約留后門，無腦授權有風險｜烤仔星選

很多用戶在參與DeFi流動性挖礦的過程中，需要授權合約，但大家可能有所不知，如果你不小心授權了某些不靠譜的合約，錢包里的幣就危險了。

之前就有人在Twitter上討論過授權合約被釣魚的案例，因不小心授權某些開了后門的合約，有人一夜之間被盜走價值14萬美金的UNI。這個故事的主人公名叫JhonDoe，去年九月，他參與了Unicats收益農場，當時他對這個項目還蠻看好的，覺得它可能會成為下一個YFI。

接下來，Jhon打算質押UNI，然后收到了MetaMask錢包的提示，“需要授權合約無限使用UNI”。授權是在DeFi挖礦中是很常見的一個操作，所以他就沒細看。

Bithumb將推出DeFi平臺Clover作為波卡平行鏈:韓國加密交易所宣布Bithumb即將推出DeFi平臺Clover，該平臺將鏈接波卡網絡，作為波卡平行鏈，由DOT技術提供支持。（Cointelegraph）[2020/10/13]

質押UNI之后，挖出來一些MEOW，他覺得賺的差不多了，可以收菜收工了，就把資金都撤回了自己的錢包。撤走資金以后，Jhon以為錢都放在自己錢包里就可以高枕無憂了。殊不知，這個合約留了后門，一旦他授權了這個合約使用自己的token，即使他從挖礦池子中撤走資金，這個合約任何時候都能調用他的token。第二天醒來以后，Jhon發現自己一半的UNI都在未通過自己授權和簽署交易的情況下被轉走了。Jhon一下子就懵了，他錢包的私鑰從沒有泄露過，錢包也沒有漏洞，自己并沒有操作過轉賬，錢好好放在錢包里還能被轉走？排除了種種因素，推測出最有可能導致丟幣的原因是：以太坊網絡上最流行的token使用的ERC20標準設計中的一個已知但經常被忽略的漏洞。這個UniCats是個什么項目？為什么就能輕輕松松盜走別人錢包里的幣？這讓以后我們DeFi挖礦還敢挖嗎？“小貓釣魚”

UniCats是一個類似Yam和Sushiswap的DeFi衍生品項目，抄襲抄的赤裸裸的，連前端界面都和Sushiswap完全一樣，除了可以挖平臺代幣MEOW之外，還可以挖UNI等其它代幣，在2池中還可以質押UNIOW和UNI的LP代獲得MEOW代幣。為什么這個項目會選擇UNI呢，因為當時Uniswap發幣，很多Uniswap的老用戶都免費領到了一堆UNI空投，大家不用專門買UNI，會有比較低的參與門檻。JhonDoe是參加這個協議的用戶之一，當時DeFi的fomo情緒很濃，很多人都說“審計是為新手準備的”，所以進了這個坑也很難怪他。JHON先后在UniCats合約中質押了兩筆UNI，價值分別為$17K、$15K，質押的操作要求他準許UniCat合約對錢包里UNI代幣的無限制訪問。可能是因為Jhon看到大家都這么做，每個人都要一開始點擊授權合約，所以沒有對此有任何疑慮。一開始還挺好的，收成不錯，賺了一些MEOW。耕種一天之后，Jhon開始從Unicats合約中解押自己的UNI。鏈上記錄：https://etherscan.io/tx/0xaf90d9ff2e9dc63ef6c6082a18214f991cc52493b0cc5c47d84590faac798f42https://etherscan.io/tx/0x751ae0fba597496f057426672fb736efdc837aa0860f1d626b4e7dd6e9052c80收獲頗豐，又入袋為安，是一次很成功的經歷，他就放心地睡覺去了。之后的事情，我們在上文也提到了。之后項目方表示：“出了bug”、“被黑客入侵”、“項目方非常努力”...換句話說就是，他們希望這個項目有成功的未來，現在正在“把這個美好的項目留給社區”，然后就卷款刪號跑路了。除了Jhon還有一些用戶也被坑了，甚至有的人還沒來得及撤出資金。

太壹科技CMO孟春東： 公鏈開始構建自己的DeFi生態，也會發展出自己的小生態。:近日，太壹科技CMO孟春東表示，目前看波卡上已經有十多個DeFi項目，整體生態項目大約200多個，已經初步完成生態的基礎構建。此外，其他的各種公鏈也會發展自己的DeFi，并在此基礎上實現跨鏈資產流通。太壹科技技術團隊近期就被波卡上很多公鏈項目邀請參與Defi項目的共同開發，完全展示了太壹科技扎實的技術功底和敢想敢拼敢贏的精神。

最終來說，隨著資產跨鏈的發展，以太坊的DeFi生態會繼續增強，其他公鏈也有機會隨之獲得一定的市場規模。由于整體DeFi的市場規模還很小，這些公鏈有機會一起將DeFi發展做大，未來更有可能的局面是形成以以太坊為中心的多鏈共存的DeFi生態。[2020/9/26]

開發人員跑路前在Tg群發的消息貪婪的“貓”

UniCats合約的有一個功能：setGovernance，有人讀的未經審核合同可能掠過這部分，因為它是相當流行的有智能的管理重點和管理地址合同。

鏈上云平臺旗下客戶幣牛交易所斬獲2020年現貨交易量第一名，已全面擁抱DeFi:據官方消息，截止2020年9月初，在鏈上云所服務的300多家企業中，幣牛交易所斬獲2020年現貨交易量第一名。幣牛交易所自2020年3月正式運營距今僅5個月，目前已進入非小號全球交易所綜合排名前30，平臺注冊用戶超180萬，用戶管理資產達2億+，交易用戶和交易手續費月均增長率達到300%。作為一家資產服務型交易所，幣牛交易所以“讓優質的資產成為頂級的資產”為使命，為提升行業品質而不斷努力，迅速成長為行業頭部交易所。

據了解，在DeFi浪潮下，幣牛已決定全面擁抱DeFi，幣牛有望成為鏈上云平臺客戶中，首家CEX＋DEX結合的交易所。

?鏈上ChainUP認為，頂級的技術服務商，是要愿意陪同客戶成長，為客戶提供全方位的技術支持。幣牛2020年目標是在年底之前交易流量進入全球市場前十，鏈上ChainUP將為幣牛交易所提供相應服務，推進幣牛交易所發展，并如期完成目標。[2020/9/7]

setGovernance是開發者Whiskers用來直接從用戶帳戶中提取資金的功能。函數接收兩個參數：一個地址、一些數據，需要將_governance設置為UNItoken地址，并為數據傳遞函數transferFrom，然后會觸發UNI合約，要求它代表用戶將資金轉移到UniCats合約。實際上，transferFrom的調用者是UniCats合約，像剛才我們提到的Jhon，他已經批準合約隨意使用自己所有的UNI資產，合約會將Jhon的UNI資產轉移到合約中相同的trasnferFrom，然后從他的錢包中盜取資金。當UNI合約收到此項調用時，會嘗試這項請求不會遇到任何錯誤。所有的轉賬都會通過，因為Jhon確實授權了合約來處理他的資金。資金從Jhon的帳戶中轉到UniCats合約中，然后再轉給Whisker。所以關鍵點就在于Jhon對UniCats合約的授權。除了Jhon之外，這個詐騙合約也有其他一些受害者，比如另一位用戶也是通過完全相同的過程損失了1萬個的UNI，他質押在UniCats中的資金全被刪除了，根本無法提現。

DeFi項目總市值為130.16億美元，概念幣種3漲10跌:金色財經DeFi專區行情顯示，DeFi概念幣種24h行情3漲10跌，24h漲幅前三為：LEND(+18.58%)、DMG（+3.43%）、LRC（+1.93%）；跌幅前三為：BNT(-11.21%）、ZRX（-5.37%）、LINK（-3.89%）。

DeFi項目總市值為130.16億美元，市值排名前五的代幣為：LINK（55.33億美元）、LEND（10.74億美元）、SNX（7.35億美元）、UMA（6.67億美元）、MKR（5.80億美元）。[2020/8/26]

有一個信息大家需要知道，即使你地址余額為0，這個無限批準的風險都還在，也就是說UniCats隨時都能把你的錢拿走。只要你沒有撤消批準，或者這個賬戶/地址之后完全廢棄再也不用了，就會隨時會被攻擊。在盜取了用戶的資金之后，UniCats項目方將UNI換成ETH，然后將ETH被轉移到Whiskers控制的帳戶中，接著又以每次100ETH的方式存入TornadoCash。練習釣魚

DeFi平臺dYdX宣布將收取交易費用:金色財經報道，去中心化保證金交易平臺dYdX最近宣布將開始收取交易費用，這是其商業模式發展計劃的一部分。[2020/3/13]

在UniCats項目方發起攻擊之前，Whiskers還做過一些鏈上的練習，創建了一個單獨的合約和管理員帳戶，以確保黑客攻擊能夠正常工作。在此交易中，Whiskers嘗試使用相同的setGovernance調用，直接從合約中提走少量UNI，從合約中獲取2.75UNI。這個是第一階段，UniCats合同本身的資金被耗盡。后來，該帳戶執行另一種轉賬練習，它濫用了baDAPProve漏洞，由Tornado現金資助的帳戶將少額UNI直接轉換為ETH。這些練習運行了幾個小時之后，才發起了正式的攻擊。正式攻擊的方式和練習的方式基本上是差不多的，都是分兩個階段。練習攻擊的記錄：https://etherscan.io/address/0xcdd37ada79f589c15bd4f8fd2083dc88e34a2af2回顧曾經與Unicats進行過互動但尚未拒絕UniCats使用其令牌的每個帳戶，在它們這樣做之前都仍然很脆弱。即使是那些只批準了令牌但從未實際發送過任何資金的人。在直接抽走UniComp合約的同時，whiskers能夠在Uniswap、SushiSwap和Balancer上獲取17KUNI以及押注LP代幣的UNI/ETH。。在第二階段，使用baDAPProve漏洞，Whiskers總共撈了6萬UNI。這些錢是從大概30個賬戶中取出來的，損失最大的是JhonDoe，總共損失了37KUNI，當時價值約12萬美元。從他們賬戶中拿走的資產比他們原本在協議中質押要多，因為Jhon的UNI并不是全部質押進合約中挖礦了。每一個曾經和Unicats交互過，并且授權UniCats使用自己代幣的賬戶都隨時有被攻擊的風險，哪怕僅僅只是授權過但從沒有轉過資金。你可能會覺得這個故事中的JhonDoe很笨，但其實他在DeFi領域還挺有經驗的，他的地址有超過1600筆交易。這是一場很“完美”的攻擊，需要無限使用的授權，很少有人真正了解其中的含義。在大環境的fomo情緒下，每一個投資者都夢想暴富，渴望自己找到下一個YFI，黑客就是從中利用了這些因素以及這些系統經常試圖隱藏的復雜性達到目的。如何保護自己免受攻擊

我建議，參與DeFi時，只授權可信任的合約，如果是去體驗新項目，用的資金要控制在自己能承受的最大損失之內，以將風險最小化。這次攻擊的根源在于ERC20的工作方式以及它的一些限制，這個限制僅存在于ERC20協議中，其它的協議標準還沒有這個問題，但是由于ERC20仍然是最受歡迎的token標準，所以大家有必要了解一些策略來避坑：首次與未知的DeFi合約交互時，要先做研究。諸如MetaMask這樣的錢包有一個功能是，可以自己設置最大批準的金額。如果你不完全信任一個DeFi合約時，就可以提前進行設置，把風險控制在自己能夠承擔的范圍之內。

如果你已經授權了一些DeFi合約，而且有一些顧慮，不太確定會不會有風險，就可以用工具撤銷授權，我給大家介紹幾個工具：https://approved.zonehttps://revoke.cashhttps://tac.dappstar.io/#/未來DeFi和ERC20都會繼續發展壯大，建議大家好好學習，了解清楚這些復雜的金融系統，保護好自己的錢袋子，注意安全！Reference：zengo.com

Tags：UNIEFIDEFIDEFUni ApeWDEFISquidGameDeFiAlchemist DeFi Aurum

MANA