USHI:Sushiswap“打錯幣”事件：我想省下Gas費 卻丟了40萬美元

DeFi流動性挖礦爆紅，之前踏空老韭菜也按捺不住，紛紛下場。

但你永遠不知道，意外和暴富，哪一個會先來。

DeFi協議SushiSwap剛運行3天，鎖定資產總價值就已超過7億美元。SushiSwap的邏輯很像Uniswap，也是為提供流動性的用戶提供獎勵，但玩法有一點不同。Uniswap的邏輯是僅在LP提供流動性的時候，才能獲得0.3%的手續費獎勵，一旦Uniswap的LP停止提供流動性，獎勵也隨之停止。為了鼓勵大家使用SUSHI，項目方將SUSHI/ETH這個池子設計為2倍獎勵，據此計算，年化暫時高達9500%。

但是幣生幣之前也需要用戶的操作，老“韭菜”玩DeFi一不小心就踩了坑。

慢霧首席信息安全官：Pegasus組織正在使用零點擊漏洞:金色財經報道，慢霧首席信息安全官23pds在社交媒體X（原推特）上稱，虛擬貨幣行業從業者請立即更新您的apple產品。Pegasus組織正在使用零點擊漏洞：攻擊者使用iMessage帳戶發送給受害者惡意圖像的PassKit附件來觸發攻擊。目前利用鏈已經公開，受害者在無需點擊交互的情況下最新的iOS系統即可被感染。目前漏洞已經被利用，蘋果已經緊急發布更新補丁。[2023/9/8 13:26:14]

SushiSwap運行流動性挖礦的第二天，就出現了用戶錯誤轉幣的情況。

8月30日，SushiSwap項目官方人員@ChefNomi發布推特，稱有用戶向其Token智能合約地址轉賬40萬USDT。并且，SushiSwap團隊表示，轉入該智能合約的代幣將無法提取。????

SUSHI突破7.5美元關口 日內漲幅為4.69%:火幣全球站數據顯示，SUSHI短線上漲，突破7.5美元關口，現報7.503美元，日內漲幅達到4.69%，行情波動較大，請做好風險控制。[2021/1/19 16:30:26]

Odaily查詢發現，上述40萬USDT是分兩筆從Gate交易所轉出，時間僅相差一小時。????

苦主是Gate交易所實習打幣員嗎？不，是Gate的用戶。

8月30日當天，Gate官方第一時間回應稱：此舉為用戶個人操作轉錯。

這個用戶是誰？幣乎用戶@冰棒爆料稱，是幣圈自媒體「王團長區塊鏈」創始人王團長。

根據@冰棒曬出的截圖，王團長在社交媒體上四處求助，試圖聯系Gate或SushiSwap官方人員，讓官方回滾交易或者直接提取誤轉的代幣。???

Sushi Swap過去7天在平臺和DApp產生的費用排名第四:11月30日，根據ToeknTerminal數據顯示，過去7天中，Sushi Swap在平臺和DApp產生的總費用排名第四。前三分別是BTC、ETH和Uniswap。[2020/11/30 22:36:34]

但SushiSwap官方已經表明態度：回滾是不可能回滾的，這輩子是不可能回滾的，除非Tether耍賴自己回滾。

????

為什么官方不能直接提幣還給用戶？

慢霧安全團隊告訴Odaily星球日報，在分析了SushiSwap代幣合約后發現，該智能合約沒有預留代幣取出接口，用戶誤轉入的代幣，相當于轉到了零地址，永久被鎖死在區塊鏈世界中。

Sushiswap:沒有參與任何形式的空投:Sushiswap官方通過推特提醒投資者:目前任何形式的SUSHI空投都是虛假的，Sushiswap沒有參與任何形式的空投。Sushiswap的任何活動以官方推特為準。[2020/10/8]

“如果項目方保留最高提取權，其實是可以提幣的。但為了去中心化，很多項目取消了最高控制權。因此，也就無法提幣。”BlockArk?聯合創始人墨客告訴Odaily星球日報。

如果SushiSwap官方真地提取出了代幣還給用戶，相當于直接昭告天下，該智能合約存在后門，項目方可以為所欲為，對于項目而言將是毀滅性的打擊。畢竟，在區塊鏈的世界，Codeislaw。

因此，SushiSwap官方也在最開始表明態度：深表遺憾，無能為力。

實際上，除了上述的40萬USDT，該還收到了其他用戶失誤轉賬。

Odaily星球日報查詢發現，從該項目運行以來，代幣智能合約累計收到8筆轉賬，累計收到40萬USDT、18086個AMPL、1100個SUSHI。

值得注意的是，AMPL的發送方同樣是Gate，另外王團長在公眾號中表示重倉了20萬元的AMPL。因此，這筆錢的苦主大概率也是其本人。

相信讀到這里，大多數人都有一個困惑：既然代幣智能合約不能提幣，為什么這么多鐵憨憨會往其中打幣？

慢霧安全團隊揭示了其中的奧秘：為了省下Gas費。

參與流動性挖礦的標準操作是：

從交易所提幣到用戶自己錢包地址；

打開流動性挖礦項目網站，點擊相應挖礦池，調出智能合約；

從網頁錢包授權，向項目的智能合約轉賬。

上述過程的第一步和第三部都要用到鏈上轉賬，也就需要用戶支付Gas費用。于是，一些「聰明人」想著，直接省略第一步，從交易所直接向項目智能合約打幣，這也就有了文章開頭的一幕。

為什么不能從交易所直接轉賬呢？

慢霧安全團隊表示，正常操作流程是使用個人錢包在官方網站進行操作，官方會有一個上層路由合約去執行用戶需要的具體操作(兌換、提供流動性等)；但如果直接打幣進入智能合約，則不會觸發相應操作。“因此建議用戶，在不熟悉具體操作流程的情況下，盡量使用官方的網站進行操作，避免失誤造成資產損失。”

最后，Odaily星球日報也想提醒各位有志于成為「農民」的朋友：

參與挖礦時候，首選經過代碼安全審計的項目，國內比較有代表性的相關安全團隊有：慢霧、派盾、成都鏈安等；

一定要清楚挖礦的流程，懂得公鑰、私鑰等關鍵概念，能夠熟練使用網頁錢包轉賬；

挖礦時，不要為了省Gas費，從交易所直接轉賬進入項目，否則資產將會被鎖定且無法取回；

最后，一些挖礦項目會在代碼中添加錢包私鑰授權，直接掌握用戶熱錢包。因此，重要資產不要放在網頁錢包中。

作者|秦曉峰

編輯|Mandy

出品|Odaily星球日報

Tags：SUSHIUSHUSHISHISUSHIBEAR幣sushi幣騙局USHIBA幣shib幣銷毀最新消息

KuCoin