買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > 區塊鏈 > Info

ICA:UniCats“開后門”釣魚,十數萬UNI“洗白”_NIC

Author:

Time:1900/1/1 0:00:00

時值國慶大假期間,加密錢包初創公司ZenGo的研究員亞歷克斯·馬努斯金爆料稱,有用戶一夜之間損失了價值14萬美元的Uniswap代幣UNI,而這與名為UniCats的“收益農場”有關。據了解,一些參與DeFi提供流動性挖礦賺取收益的用戶最近發現了UniCats這個新農場。從界面來看,UniCats類似YamFinance和SushiSwap;收益方面,不僅可挖礦本地MEOW代幣,同時還可挖出包括UNI在內的其它代幣。界面友好,產能不賴,資產入場。當用戶準備提供流動性時,UniCats彈出提示框,要求獲取消費限制許可,而該許可的限制是:無限。用戶可能怎么也不會想到,在這個無限消費的許可的背后,UniCats開發者早已暗置了一個直通自家資產的“后門”。用戶的資產可由此被悄悄轉移至開發者指定的地址。就這樣,有大膽且不幸的“農夫”瞬間被竊取了價值14萬美元的UNI,而其他用戶也有不同程度的損失。盜竊“現場”

Huobi DeFi Labs投資總監Unica:Solana目前到了積極建設生態的時間:5月11日,在以《跨界腦暴:眺望Solana生態大宇宙》為主題的AMA中,Huobi DeFi Labs投資總監Unica表示,2018 年初在 ICO 橫行的當時,Solana 的白皮書就認真地探討了硬件層面加速的思路,字里行間是比較踏實的,區塊鏈技術方面大多數開發者是純軟件背景出身,有能力討論硬件問題的團隊鳳毛麟角。Solana一路走來受到關注也有質疑,并一次次戰勝質疑,目前到了積極建設生態的時間。

Solana可以承載具有更高性能要求的生態應用,在區塊鏈技術逐步進入主流的途中這是重要的優勢。從投資者的角度來看,一個公鏈的繁榮與否也與其社區的活躍程度息息相關,可以看到的是從去年solana上線以來,開發者積極了解solana相關的技術棧和開發工具,并迅速搭建了各類項目,這也是值得重視并進行研究的。[2021/5/11 21:49:20]

那么,UniCats開的這個“后門”,又是如何對用戶進行竊金操作的呢?1、盜竊者首先將UniCats的owner權限轉移給一個合約地址。2、盜竊者通過獲得owner權限的合約地址調用UniCats的setGovernance方法。3、setGovernance函數調用對于代幣的transferFrom函數,將用戶資產轉移到盜竊者地址。第2、3步為此次盜竊的核心步驟,如下圖所示:

灰度新注冊UNI信托基金產品:1月29日消息,據特拉華州官網顯示,灰度(Grayscale)新注冊UNI信托基金,文件編號為4887456,這是繼為AAVE、ADA、ATOM、EOS、XMR以及DOT之外灰度近期注冊的第七個新的信托基金。此前,灰度新注冊AAVE、ATOM、DOT等六個信托基金產品。[2021/1/29 14:18:13]

“后門”分析

UniCats合約中的setGovernance函數是實現盜竊的關鍵。通過調用此函數,UniCats合約即可作為調用者,能夠向任意合約發起任意調用。

CoinList為用戶提供Uniswap流動性挖礦賺取治理代幣UNI的功能:加密貨幣拍賣及交易平臺CoinList宣布集成Uniswap治理代幣UNI的流動挖礦功能,用戶可以通過投入美元、USDT、BTC、WBTC、ETH、USDC和DAI為Uniswap的流動性挖礦提供資金,參與者需要至少存入1000美元。CoinList會將參與者的資產平均分配到每個合格的Uniswap流動性池中。CoinList將會進行兩次資金部署,第一次為10月2日,第二次為10月9日。所有資金將于11月17日從協議中收回,并且計劃在11月24日之前將資產以及獎勵分配給參與者。[2020/10/1]

鏈豆資本千萬投資蝙蝠財經CoinEcho Union PTE. LTD:鏈豆資本宣布投資蝙蝠財經CoinEcho Union PTE. LTD,投資額度達千萬級。蝙蝠財經聯合主流財經媒體正確解讀國家政策,匯聚行業大咖觀點,打造專業的視頻媒體服務,建立具有公信力的區塊鏈財經排行榜,致力于服務具備投資價值的區塊鏈產品和公司,甄別空氣幣與價值幣,保護中小幣圈投資者。[2018/6/2]

據上圖所示,調用該方法可輸入兩個參數,即一個地址類型的“_governance”和一個bytes類型的“_setData”。而函數的governance.call(_setupData)其實是表示向參數“_governance”地址發起一筆交易,其calldata為參數“_setData”。如此一來,只要有權限調用這個方法,便可以借合約的身份發起任意交易。在進行代碼編寫時,其注釋表示此函數是一個修改治理合約的函數,如下圖所示:

事實上,根據成都鏈安的審計經驗,修改治理合約通常并不需要調用call。而且,UniCats在對用戶資產進行盜竊時,還刻意多次變換owner地址,如下圖所示:

不僅如此,資產在轉出后還立刻被流入混淆器,如下圖所示:

如此操作,老練狠辣、一氣呵成,因此基本可以斷定,該項目就是一個徹頭徹尾的騙局,為的就是釣魚詐騙而上線。令人細思極恐的是,在本案例中盜竊者調用了transferFrom方法對用戶的資產實施轉賬,這就使得即便存在于錢包的用戶資產,也可能面臨被盜的風險。由于在合約授權時發起的是無額度限制授權,因此,一旦授權許可通過,合約就有權轉移用戶所有的資產。成都鏈安鄭重提醒,用戶在進行合約授權時,使用多少,授權多少。這樣操作的話,即便不幸遭遇類似欺詐性質的合約,也不會殃及錢包中的本金。如果用戶不太清楚自己的授權情況,可以通過以下工具進行查詢。1、https://approved.zone2、https://revoke.cash3、https://tac.dappstar.io/#/小結

于DeFi領域,用戶獲得新幣的門檻大大降低,通過組合資產投資的確可能在短期內實現大規模的增值收益。但是,用戶資產可能面臨的風險狀況就變得更為復雜,在這點上必須引起高度注意。在DeFi這個“黑暗森林”,大膽冒險是禁忌一般的行為。用戶資產不僅要受到客觀行情波動的影響,質押時是否遭受“清算”也無法預知,而合約中的人為陷阱更是無處不在。尤其是,不少DeFi項目都存在代理轉賬的邏輯,多數項目方也會直接要求用戶授權最大值。也就是說,用戶授權后,某些不良合約將利用留“后門”的手段,反噬用戶所持的全部資產。因此,對于用戶而言,來自合約的一切許可請求都要格外注意,寧理性退場,不冒然入坑,時刻警惕惡意項目方的此類“后門”陷阱。

Tags:UNIICANICUNICLUNI幣opticalnetworkRainicornBitcoin Unicorn

區塊鏈
COI:星球日報 | The Block總監:庫幣被盜資產高達2.8億美元;穩定幣市值突破200億美元_PETH幣

頭條 TheBlock研究總監稱庫幣約有2.8億美元資產被盜,而非1.5億美元TheBlock研究總監LarryCermak發推稱,其做了一些庫幣黑客事件的數據統計,根據估算.

1900/1/1 0:00:00
EFI:數讀DeFi 9月:市場“退燒”,資金盤“冒尖”_USDSP價格

文|沉思錄編輯|Tong出品|PANews很早之前就有人預言Uniswap的發幣可能標志著本輪牛市的終結,不管是否如此,但9月的DeFi市場確實迎來了轉折點,收益率下降,安全事故頻發.

1900/1/1 0:00:00
COI:KuCoin攻擊者被嘲笑后,用DeFi變現上億被盜資產_COIN

本文來自:哈希派,作者:LucyCheng,星球日報經授權轉發。 北京時間2020年9月26日凌晨時分,KuCoin熱錢包地址出現的大量代幣異常提現交易牽動了加密社區的心.

1900/1/1 0:00:00
MIC:報告:未來5年,90%的機構投資者預計將對比特幣等加密資產進行更多的投資_OST

編者按:本文來自巴比特資訊,作者:EktaMourya,編譯:夕雨,星球日報經授權發布。80%的機構投資者認為,中央銀行和政府最近采取的由冠狀病大流行導致的量化寬松政策可能導致通貨膨脹率上升.

1900/1/1 0:00:00
Uniswap:YFI創始人的新代幣模型:永久流動性與抵消無常損失_PSWAP幣

編者按:本文來自區塊律動BlockBeats,Odaily星球日報經授權轉載。YFI創始人AndreCronje在Medium上發表了《加密經濟、永久流動性,以及抵消無常損失》的文章,介紹了自己.

1900/1/1 0:00:00
EFI:從賭場到華爾街:DeFi的下一個突破口在哪?_OFI

撰文:SharlynWu,火幣集團首席投資官隨著Uniswap日交易量達到近10億美元,自動化做市商機制也已成為去中心化交易所的中堅力量.

1900/1/1 0:00:00
ads