吳說作者|ColinWu
本期編輯|ColinWu
近日,多名流動性“礦工”對吳說區塊鏈表示,幣安智能鏈上又一個DeFi“土礦”popcornswap跑路,項目方卷走近48000個BNB,價值約215萬美金。數日內還有三個項目跑路。目前SharkYield跑路疑似帶走了6000個BNB。
幣安表示安全團隊在“連夜跟進”popcornswap項目,但并不一定能追回成功。幣安此前宣傳文章也表示追回是小概率事件,希望用戶務必謹慎投資,選擇優質的頭部項目參與。
此次popcornswap跑路事件出現兩個問題:
1、礦工反饋,幣安表示USDT、BUSD可以凍結,但BNB無法凍結,因此跑路項目開始大范圍使用BNB。
2、幣安曾經表示,未來幣安智能鏈社區會為部署上來的優質項目陸續提供審計服務,未來會有標示將審計與未審計完成的項目進行區分,以供用戶參考。但是直到目前,該審計標示沒有出現,可能是審計機構的昂貴費用與時長的阻礙。
幣安此前的反饋是,BSC是與以太坊一樣的公鏈,不應該為上面的項目負責。何一曾經表示:幣安智能鏈項目又不是幣安發的,以太坊上挖礦賠錢怎么不找V神索賠?
Solana 生態跨鏈互操作性協議 Wormhole 支持幣安智能鏈:10月12日消息,Solana 生態跨鏈互操作性協議 Wormhole 宣布支持幣安智能鏈(BSC),用戶可在 Solana、以太坊和 BSC 之間無縫轉移代幣和 NFT。團隊表示,Wormhole 的以太坊和 Solana 跨鏈橋自 9 月推出以來,總鎖倉價值(TVL)已達 2 億美元,100 多個 NFT 已通過跨鏈橋進行轉移。[2021/10/12 20:22:13]
但另一方面幣安又在宣傳幫助用戶追回資產。例如自動做市商的“土礦”項目WineSwap跑路,幣安安全團隊幫助用戶追回了損失資金的99.9%,共計超過34.4萬美元。幣安也表示,像這樣的追索往往需要耗費大量的人力物力,而往往這些追查的線索會中斷,能像這次追討成功可以說是萬里無一。
由此幣安就會陷入一個尷尬的境地:對于跑路項目究竟是管,還是不管?用戶也會對此有疑問,幣安究竟管不管?
BSC上項目的邏輯是,發展好的項目CZ會轉發推特,然后引起關注逐漸壯大。相較之下火幣生態鏈中心化程度更高,會列出報名項目,跑路情況較少。幣安智能鏈更多希望“不做裁判員”。
這也可以理解,幣安智能鏈的國際化程度更高,對于習慣DAO社區文化的海外用戶而言,他們可能更能理解BSC的做法。海外社區非常警惕中心化的管理,因此幣安輕易凍結BNB資產,也可能給海外用戶帶來擔憂。哪怕是針對黑客行為凍結,也需要先有的要求。
幣安智能鏈上借貸協議 DeFiPie 遭到黑客攻擊:以太坊和幣安智能鏈上的借貸協議 DeFiPie (PIE)發推稱,其應用遭到黑客攻擊,目前團隊正在與安全審計公司合作尋求解決方案,建議所有流動性提供者從應用程序中提取所有流動性。目前在 DeFiPie 應用程序上持有資產不是安全的。據 CoinGecko 數據顯示,PIE 代幣 24 小時跌逾 66%。[2021/7/13 0:48:35]
火幣因為項目與用戶絕大多數是中國人,這也決定了他們必須選擇中心化的管控,據說火幣對于跑路項目有詳細的應急方案,幾個小項目也第一時間得到了處理。
對于幣安來說,BSC上跑路情況確實有日漸嚴重的傾向,依靠制度治理可能是唯一的選擇。但目前為止,我們還沒有看到幣安智能鏈制度上改進的動作。
參考幣安智能鏈的野望與尷尬:超越以太坊還是成為孫宇晨?
以下內容為iNexusPro獨家授權吳說區塊鏈發布,內容稍作編輯
土礦一般來講,抽走資金一般這幾個步驟:
1、通過高APY吸引你沖動梭哈,畢竟高APY都是真金白銀支撐的,收益這么高大戶早來了,正所謂的收益越高,風險越大。
2、通過一些“所謂的”安全措施讓你覺得風險很低。
幣安智能鏈PancakeBunny回應代幣閃崩事件:遭到閃電貸攻擊:5月20日消息,幣安智能鏈(BSC)DeFi收益聚合器PancakeBunny(BUNNY)針對代幣閃崩事件回應稱,遭到來自外部開發人員的閃電貸攻擊,黑客使用PancakeSwap借入了大量BNB,之后繼續操縱USDT/BNB以及BUNNY/BNB價格,從而獲得大量BUNNY并進行拋售,導致BUNNY價格閃崩,最后黑客通過PancakeSwap換回BNB。[2021/5/20 22:23:44]
3、盜取資金之后馬上換為非erc代幣或者無法凍結的代幣,然后等待混幣機會逃走。
看到了這個步驟,你應該明白了,如果能夠做到:
1、不開源的土礦一律不碰,不管他APY寫得多么誘人
2、開源的土礦,如果要參與,一定是在diff合約,檢查變量參數之后,少量資金參與。
3、那么相信你能規避大部分風險,下面簡單講一下怎么diff合約,怎么檢查參數,以及一些衍生的思考。
第一步:diff
這里以在線對比工具https://www.diffchecker.com/為例
注意一點,diff的合約需要是你真實要轉幣進去的合約地址
IoTeX生態項目Cyclone旋風協議3月12號上線幣安智能鏈:據官方消息,IoTeX生態項目跨鏈隱私協議Cyclone旋風協議3月12號上線幣安智能鏈。新上線V2將推出新的通證經濟和產品功能,包括跨鏈匿名隱私,去中心化治理和支持所有DeFi產品的隱私層功能。幣安智能鏈匿名創世挖礦池將支持$BNB,$BUSD和$IOTX挖礦。
旋風協議是一款通過非交互式簡潔零知識證明(zkSNARKs)技術,具有支持多鏈、非托管性、以隱私為中心等特點的匿名協議。CYC首發物聯網公鏈IoTeX,是其平臺上首個匿名Defi應用。[2021/3/9 18:28:45]
首先拿到原版的MasterChef代碼:
https://bscscan.com/address/0x73feaa1ee314f8c655e354234017be2193c9e24e#code
接著這里以popcornswap為例:
https://bscscan.com/address/0x584527ded17aceb3dc617c40b04e8fe9afc57096#code
分別吧代碼復制到兩邊,開始diff
這里我保存了diff結果,可以直接點這個link:https://www.diffchecker.com/VqaCP3DK
幣安智能鏈上Meerkat Finance項目金庫合約遭遇黑客攻擊:剛剛,微博大V“超級比特幣”在微博表示,“BSC鏈上山寨羊駝defi項目跑路,三小時1300萬美金。唉,土狗別沖啊!”
社群信息顯示,DeFi項目Meerkat Finance金庫合約遭遇黑客攻擊,黑客利用漏洞盜取了金庫中的全部資金。
金色財經在此提醒用戶,挖礦有風險,投入需謹慎。[2021/3/4 18:15:16]
像結果中字符串的修改,或者//后的內容都可以忽略
如上圖這種,可以忽略
如果是原版添加的代碼,土狗刪除的,一般也不重要,重點是土狗和原版代碼不同的地方:
上圖為關鍵差異,土狗修改了原版的migrator方法,還增加了個一個叫做preUpgrade的函數。
看到這里,如果你對合約一無所知,安全期間,就可以直接關閉頁面保平安了。
這里簡單分析一下差異,首先migrate方法,這個是sushiswap繼承的代碼,原版代碼就有將池子里錢掏空的可能性。
popcorn這里,新的preUpgrade方法,是public的,代表所有人都能調用,就是一個非常可疑的點,理論上在migrator設置為惡意地址的時候能夠讓migrator掏空所有的錢。
第二步:檢查變量
點擊土狗合約的這個按鈕:
檢查migrator,owner等變量:
可以看到migrator是0,owner是一個timelock地址,土狗的一種套路是,聲稱自己有timelock,給出了合約地址,但owner并不是timelock的地址,那明顯就是騙局了。
當然timelock合約,也可以做小動作,所以也需要做diff操作,這里他的timelock沒有問題,就不贅述了
那么完成了上面兩步,很多資深礦工可能會覺得,timelock有的,合約變量沒問題,雖然有代碼存在風險,但是有timelock啊,沒事,沖tmd,對低級土狗而言,可能確實就無風險了,但很可惜,popcornswap是一個略高級的土狗。看我下面分解盜幣過程:
項目方通過調用:
https://bscscan.com/tx/0x38f75296e3343228c0309f8c99a24ca4f4812372f2b032f38ce25ac5a992b768
preUpgrade方法,讓自己的地址有了合約里token的transferFrom權限
看前面的代碼可以發現,preUpgrade確實又這個功能,但他只會給migrator這個權限,而migrator又是0,修改migrator需要經過時間鎖,那么他是怎么做到的呢?
答案是:項目方在部署合約后,加timelock之前,把migrator改成了自己的地址,并通過preUpgrade提前獲取了里面所有token的allowance,然后再改回migrator,添加時間鎖。
因為這些tx混在項目方添加池子的tx中,普通人根本不可能去檢查一個池子之前的每一個tx,所以popcornswap得以在2小時內盜取2mil的代幣。
這個作案手法也引起了我的思考,目前并沒有有效的工具,能夠查出一個合約地址里,tokenallow給其他地址的情況,因此非常難發現問題。普通的用戶,沒有能力,也不太可能發現這個端倪,甚至我相信在本次事件中,一些對合約代碼有所了解的土礦老司機也一并翻車。
后續思考
本次作案手法曝光之后,相信未來的土礦也很有可能利用類似的手法進行盜幣,而對普通用戶而言防不勝防,事實上最近2天bsc上就有2個礦翻車,金額還都不小。
作為交易所公鏈,不管是bsc,還是heco,他們的核心競爭力是什么?是去中心化嗎?
我個人認為不是的。
bsc,heco等,他們最大的優勢應該是1.低手續費2.交易所公信力背書。
以bsc為例,作為一個類似DPos的設計公鏈,跨鏈橋非去中心化,以及上面的大部分資產都是幣安發放的情況下,即使代碼開源,談何去中心化?
個人認為,反而應該反其道行之,引入類似EOS的仲裁機制,最大程度的保證用戶在鏈上的的財產安全才是生存之道。
歡迎閱讀吳說報道精選:主流交易所獨家動態、比特大陸系列、監管與凍卡系列、Filecoin系列、幣圈亂象揭弊、礦場監管動態等
風險提示
▼▼▼
根據銀保監會等五部門發布的《關于防范以“虛擬貨幣”“區塊鏈”名義進行非法集資的風險提示》,請大家樹立正確的投資理念,本文內容報道不對任何經營與投資活動推廣進行背書,請投資者提高風險防范意識。_轉載請注明來源,否則將追究法律責任。_
免責聲明:作為區塊鏈信息平臺,本站所發布文章僅代表作者個人觀點,與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考,并非作為或被視為實際投資建議。
本文來源于非小號媒體平臺:
吳說區塊鏈real
現已在非小號資訊平臺發布217篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/9631438.html
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
上一篇:
QT拳頭回歸給所有人重新選擇財富的機會
尊敬的用戶: ZRX將在WBF創新區Defi板塊上線ZRX/USDT交易對,具體時間安排如下: 充提已開 交易時間:2021-2-111:00 項目介紹: 0x是一個點對點交易的開源協議.
1900/1/1 0:00:00據官網公告,ZT創新板即將上線HSBI,并開啟HSBI/USDT交易對。具體上線時間請關注官網公告.
1900/1/1 0:00:00尊敬的社區用戶: SEELE、Helium(HNT)作為第二批產業區塊鏈項目已上線霍比特產業區塊鏈專區。霍比特產業區塊鏈專區已于2021年1月28日正式上線.
1900/1/1 0:00:00Gate.io今日ETH2.0PoS挖礦獎勵已發放,用戶可以到賬單明細中查看詳情。Gate.io于12月21日起為ETH2持倉用戶按14日平均持倉分發ETH2.0PoS挖礦獎勵,當前年均收益率為.
1900/1/1 0:00:00尊敬的ZT用戶: 因MC錢包短暫維護,ZT已暫停MC充值和提現業務。由此給您帶來的不便敬請諒解。風險提示:數字資產是創新產品,價格波動較大,請用戶理性判斷自己的投資能力,審慎做出投資決策.
1900/1/1 0:00:00尊敬的用戶: 因DOGE節點維護升級,幣虎即刻起暫停DOGE充提幣服務,升級期間不影響正常交易。恢復時間另行通知.
1900/1/1 0:00:00