關于DeFi流動性挖礦項目chick.finance惡意合約代碼的詳細分析_GUCS:OWN

就在剛剛，YFII通報了chick.finance合約代碼的風險，不過其中提到的“用戶充值的所有代幣，開發者都有權限提取”這句話其實并不是完全準確的，因此在這里我們需要給大家做下更詳細的描述：

該合約惡意代碼的問題并不在于“開發者事發后能提取用戶存在合約中的代幣”，而在于對于任何給該合約授權了的用戶，開發者都能把你錢包里的代幣一掃而空，這正是比特派安全實驗室在之前的那篇《以太坊Defi生態當前最大的安全隱患》一文中提到的“濫用合約授權問題”。

中幣（ZB）關于GUCS搶購額度調整的公告:6月24日，中幣（ZB）官網發布關于關于調整“GUCS折扣搶購”優惠活動的公告，原“GUCS折扣搶購”優惠活動搶購總額為100萬USDT等值的GUCS，現應GUCS社區要求，將兩輪搶購額度分別調整為：GUCS原來搶購額度分配：90%折扣為75萬 USDT；95%折扣為25萬 USDT。更改后：90%折扣為40萬 USDT；95%折扣為60萬 USDT。

單個賬戶兩輪合計最高參與搶購的限額為2000 USDT。詳情見官網公告。[2020/6/24]

惡意代碼是如下這段：

Bitpoint關于BTC及BCH的收款地址變更:3月11日凌晨2時~6時Bitpoint將實施臨時維護，屆時將升級加密貨幣錢包并且變更顧客的BTC以及BCH收款地址。臨時維護結束之時，請顧客注意變更后的BTC及BCH收款地址。[2018/3/9]

functionstartReward(address_from,uint256amount)externalpub1ic{

韓國國務總理李洛淵為政府關于關閉虛擬貨幣交易所的各說其詞而道歉:韓國國務總理李洛淵（???）昨日（6日）在國會中舉行的對政府提問中環節中，關于國民之黨蔡利培（???）議員指出的“自宣布關閉交易所以來，政府各部門一直在眾說紛紜導致市場更加混亂”問題表示“對于這一點我感到非常的抱歉。”[2018/2/7]

????weth.safeTransferFrom(_from,owner(),amount);

??}

開發者對故意拼寫錯誤的pub1ic做了如下約束

modifierpub1ic(){

????require(isOwner(),"Ownable:callerisnottheowner");

????_;

??}

上述代碼的邏輯很簡單，干的就是那些給這個合約授權了的用戶，合約Owner都能把你的代幣轉給Owner，就這么簡單。

這其實是DeFi生態里非常嚴重的惡性事件，理應引起全行業的重視，因為這次可能惡意開發者只是用拼寫錯誤的方式來試圖蒙騙大家，然后很幸運的第一時間被發現了，那下次呢？是不是可以寫出邏輯復雜并且很難被看出來的漏洞，靜靜的等待上線把各位的錢包一掃而空呢？要再次強調的是，這個例子中，您損失的可不僅僅是您存入合約的資產，而是你錢包里的全部資產，明白了嗎？

我們之前在向全行業提出“濫用合約授權”問題的時候，就曾預計到可能會有開發者作惡的情況出現，沒想到這一天來的這么快，這次代碼偽裝的比較蠢，那下次呢？下次DeFi礦工們是否還能躲得過去了呢

Tags：GUCSUSDTOWNSDTgucs幣最新情況usdt幣交易違法嗎香港clowncointrustwallet沒有usdt

DOT