以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > Luna > Info

UNI:UniCats“開后門”釣魚,十數萬UNI“洗白”

Author:

Time:1900/1/1 0:00:00

時值國慶大假期間,加密錢包初創公司ZenGo的研究員亞歷克斯·馬努斯金爆料稱,有用戶一夜之間損失了價值14萬美元的Uniswap代幣UNI,而這與名為UniCats的“收益農場”有關。據了解,一些參與DeFi提供流動性挖礦賺取收益的用戶最近發現了UniCats這個新農場。從界面來看,UniCats類似YamFinance和SushiSwap;收益方面,不僅可挖礦本地MEOW代幣,同時還可挖出包括UNI在內的其它代幣。界面友好,產能不賴,資產入場。當用戶準備提供流動性時,UniCats彈出提示框,要求獲取消費限制許可,而該許可的限制是:無限。用戶可能怎么也不會想到,在這個無限消費的許可的背后,UniCats開發者早已暗置了一個直通自家資產的“后門”。用戶的資產可由此被悄悄轉移至開發者指定的地址。就這樣,有大膽且不幸的“農夫”瞬間被竊取了價值14萬美元的UNI,而其他用戶也有不同程度的損失。盜竊“現場”

數據:過去24小時UniSwap交易量以11.8億美元位列榜首:金色財經報道,DefiLlama數據顯示,過去24小時,交易量最大的DEX是Uniswap,約為11.8億美元。其次是Curve,約2.2億美元。第三是PancakeSwap,約為1.83億美元。緊隨其后的DEX分別是DODO,SushiSwap等。[2022/10/8 12:49:03]

那么,UniCats開的這個“后門”,又是如何對用戶進行竊金操作的呢?1、盜竊者首先將UniCats的owner權限轉移給一個合約地址。2、盜竊者通過獲得owner權限的合約地址調用UniCats的setGovernance方法。3、setGovernance函數調用對于代幣的transferFrom函數,將用戶資產轉移到盜竊者地址。第2、3步為此次盜竊的核心步驟,如下圖所示:

數據:近30日Uniswap交易失敗率達22.4%:據Tokenlon團隊分析的去中心化交易所近30天的鏈上數據后發現,幾個流行的DEX有較高的交易失敗率,比如1inch交易失敗率為14%、Uniswap的失敗率達22.4%,而Tokenlon的失敗率僅為0.26%。注:DEX常見的交易失敗理由包括交易滑點超過預期、GasLimit設置太低等。[2020/9/3]

“后門”分析

UniCats合約中的setGovernance函數是實現盜竊的關鍵。通過調用此函數,UniCats合約即可作為調用者,能夠向任意合約發起任意調用。

公告 | JUST UNIVERSE即將上線FUBT:據FUBT官方消息, JUST(JUST UNIVERSE)近日在官方推特和電報宣布,根據白名單機制 JUST已與FUBT達成戰略合作,其項目代幣 JT將在近期上線FUBT交易平臺。JT在上線FUBT交易平臺之后,還將陸續上線其他平臺。據了解,JUST是一個擁有強通縮模型的創新協議跨鏈生態應用公鏈、一個擁有一籃子貨幣計劃的跨鏈金融匿名公鏈、一個擁有儲備金拖底的分布式公鏈,全網社區用戶近50萬。FUBT是一站式區塊鏈資產交易服務平臺,全球用戶總數超百萬。[2020/2/26]

Unicorn正式上線區塊鏈瀏覽器UIC-Explorer:Unicorn也將在2018年4月17日正式上線區塊鏈瀏覽器UIC-Explorer。Unicorn每筆交易都可以在UIC-Explorer中找到相對應的記錄,保證了所有交易的透明性。據了解,通過使用UIC-Explorer區塊鏈瀏覽器可查詢到以下信息:1、區塊上的出塊時間、出塊高度等整條區塊鏈基礎信息2、區塊詳情查詢3、區塊上的交易記錄查詢(地址、資金動向)4、區塊上的合約執行情況查詢此外,區塊鏈瀏覽器UIC-Explorer可以讓大家直接看到區塊上記錄的數據,同時地址和個人信息不掛鉤,保證用戶的個人隱私。[2018/4/16]

據上圖所示,調用該方法可輸入兩個參數,即一個地址類型的“_governance”和一個bytes類型的“_setData”。而函數的governance.call(_setupData)其實是表示向參數“_governance”地址發起一筆交易,其calldata為參數“_setData”。如此一來,只要有權限調用這個方法,便可以借合約的身份發起任意交易。在進行代碼編寫時,其注釋表示此函數是一個修改治理合約的函數,如下圖所示:

事實上,根據成都鏈安的審計經驗,修改治理合約通常并不需要調用call。而且,UniCats在對用戶資產進行盜竊時,還刻意多次變換owner地址,如下圖所示:

不僅如此,資產在轉出后還立刻被流入混淆器,如下圖所示:

如此操作,老練狠辣、一氣呵成,因此基本可以斷定,該項目就是一個徹頭徹尾的騙局,為的就是釣魚詐騙而上線。令人細思極恐的是,在本案例中盜竊者調用了transferFrom方法對用戶的資產實施轉賬,這就使得即便存在于錢包的用戶資產,也可能面臨被盜的風險。由于在合約授權時發起的是無額度限制授權,因此,一旦授權許可通過,合約就有權轉移用戶所有的資產。成都鏈安鄭重提醒,用戶在進行合約授權時,使用多少,授權多少。這樣操作的話,即便不幸遭遇類似欺詐性質的合約,也不會殃及錢包中的本金。如果用戶不太清楚自己的授權情況,可以通過以下工具進行查詢。1、https://approved.zone2、https://revoke.cash3、https://tac.dappstar.io/#/小結

于DeFi領域,用戶獲得新幣的門檻大大降低,通過組合資產投資的確可能在短期內實現大規模的增值收益。但是,用戶資產可能面臨的風險狀況就變得更為復雜,在這點上必須引起高度注意。在DeFi這個“黑暗森林”,大膽冒險是禁忌一般的行為。用戶資產不僅要受到客觀行情波動的影響,質押時是否遭受“清算”也無法預知,而合約中的人為陷阱更是無處不在。尤其是,不少DeFi項目都存在代理轉賬的邏輯,多數項目方也會直接要求用戶授權最大值。也就是說,用戶授權后,某些不良合約將利用留“后門”的手段,反噬用戶所持的全部資產。因此,對于用戶而言,來自合約的一切許可請求都要格外注意,寧理性退場,不冒然入坑,時刻警惕惡意項目方的此類“后門”陷阱。

Tags:UNIUNICNICICAAUNIT價格Bunicorn Universal RewardUnicly CryptoPunks Collectionshibmerican幣最新消息

Luna
ECO:簡析Filecoin的加密經濟設計

編者按:本文來自藍狐筆記,Odaily星球日報經授權轉載。Filecoin主網將在148,888區塊啟動。這意味著等待了3年多的Filecoin馬上就要到來.

1900/1/1 0:00:00
MOON:星球前線|Reddit“社區積分”也能創收?社區找到兌現方法

本文來自Decrypt,作者:MathewDiSalvoOdaily星球日報譯者|余順遂 摘要: Reddit在5月推出$MOON代幣。該平臺的用戶可獲得ERC-20代幣作為發帖獎勵.

1900/1/1 0:00:00
ONE:區塊鏈行業新進化:越來越多交易者使用交易機器人進行交易

9月29日全球最大的財經媒體彭博社Bloomberg報道派網Pionex在區塊鏈交易領域的創新。根據最新交易數據顯示,派網Pionex月度活躍交易者突破10萬人,月交易額高達50億美元.

1900/1/1 0:00:00
UNI:幣圈“按價定投”實操指南

在昨天的文章中,我介紹了按固定間隔時間定投的方法,這種方法的好處是規律性極強,如果能堅持下去,就能完全杜絕情緒對自己的影響.

1900/1/1 0:00:00
BLO:新西蘭擬對加密資產收稅,加密資產征稅或成趨勢

編者按:本文來自金色財經,Odaily星球日報經授權轉載。新西蘭國稅局再次將目光瞄準了加密貨幣領域.

1900/1/1 0:00:00
穩定幣:數讀DeFi 9月:市場“退燒”,資金盤“冒尖”

文|沉思錄編輯|Tong出品|PANews很早之前就有人預言Uniswap的發幣可能標志著本輪牛市的終結,不管是否如此,但9月的DeFi市場確實迎來了轉折點,收益率下降,安全事故頻發.

1900/1/1 0:00:00
ads