最近惊闻BSC上2个土矿又跑路了,金额在千万级别,有一个矿朋友还中招了,实在是看不下去,和大家谈谈,如何避免大部分土矿的坑。
土矿一般来讲,抽走资金一般这几个步骤:
通过高APY吸引你冲动梭哈(注意,很多鸡贼的土矿都是写APR,看起来更高,用APR的土矿求稳可以直接关闭),毕竟高APY都是真金白银支撑的,收益这么高大户早来了,正所谓的收益越高,风险越大
通过一些“所谓的”安全措施(timelock等)让你觉得风险很低
盗取资金之后马上换为非erc代币或者无法冻结的代币,然后等待混币机会逃走
看到了这个步骤,你应该明白了,如果能够做到:
不开源的土矿一律不碰,不管他APY写的多么诱人
开源的土矿,如果要参与,一定是在diff合约,检查变量参数之后,少量资金参与。(然而可能还有风险,比如popcornswap,会详解)
那么相信你能规避大部分风险,下面简单讲一下怎么diff合约,怎么检查参数,以及一些衍生的思考。(小白向)
第一步:diff
这里以在线对比工具 https://www.diffchecker.com/ 为例
注意一点,diff的合约需要是你真实要转币进去的合约地址(可以转非常少的量去拿地址)
首先拿到原版的MasterChef代码(这里以pancakeswap为例):
https://bscscan.com/address/0x73feaa1ee314f8c655e354234017be2193c9e24e#code
接着这里以popcornswap为例:
https://bscscan.com/address/0x584527ded17aceb3dc617c40b04e8fe9afc57096#code
分别吧代码复制到两边,开始diff
这里我保存了diff结果,可以直接点这个link:https://www.diffchecker.com/VqaCP3DK
像结果中字符串(名称等)的修改,或者// 后的内容(注释)都可以忽略
如上图这种,可以忽略
如果是原版添加的代码,土狗删除的,一般也不重要,重点是土狗和原版代码不同的地方:
上图为关键差异,土狗修改了原版的migrator方法,还增加了个一个叫做preUpgrade的函数。
看到这里,如果你对合约一无所知,安全期间,就可以直接关闭页面保平安了。
这里简单分析一下差异,首先migrate方法,这个是sushiswap继承的代码,原版代码就有将池子里钱掏空的可能性(所以土狗如果有migrate方法,求稳就不要去玩)。
popcorn这里,新的preUpgrade方法,是public的,代表所有人都能调用,就是一个非常可疑的点,理论上在migrator设置为恶意地址的时候能够让migrator掏空所有的钱。
第二步:检查变量
点击土狗合约的这个按钮:
检查migrator,owner等变量:(owner是核心)
可以看到migrator是0,owner是一个timelock地址,土狗的一种套路是,声称自己有timelock,给出了合约地址,但owner并不是timelock的地址,那明显就是局了。
当然timelock合约,也可以做小动作,所以也需要做diff操作,这里他的timelock没有问题,就不赘述了
那么完成了上面两步,很多资深矿工可能会觉得,timelock有的,合约变量没问题,虽然有代码存在风险,但是有timelock啊,没事,冲tmd,对低级土狗而言,可能确实就无风险了,但很可惜,popcornswap是一个略高级的土狗。看我下面分解盗币过程:
项目方通过调用:
https://bscscan.com/tx/0x38f75296e3343228c0309f8c99a24ca4f4812372f2b032f38ce25ac5a992b768
preUpgrade方法,让自己的地址有了合约里token的transferFrom权限(简单理解为uniswap交易之前你需要allow合约花你的币,这里是allow自己花合约里的币)
看前面的代码可以发现,preUpgrade确实又这个功能,但他只会给migrator这个权限,而migrator又是0,修改migrator需要经过时间锁,那么他是怎么做到的呢?(这个问题其实也困扰了我一会)
答案是:项目方在部署合约后,加timelock之前,把migrator改成了自己的地址,并通过preUpgrade提前获取了里面所有token的allowance,然后再改回migrator,添加时间锁。
因为这些tx混在项目方添加池子的tx中,普通人根本不可能去检查一个池子之前的每一个tx,所以popcornswap得以在2小时内盗取2mil的代币。
这个作案手法也引起了我的思考,目前并没有有效的工具,能够查出一个合约地址里,token allow给其他地址的情况,因此非常难发现问题。普通的用户,没有能力,也不太可能发现这个端倪,甚至我相信在本次事件中,一些对合约代码有所了解的土矿老司机也一并翻车。
那么popcornswap的解析就讲到哪里,下面是我个人的一些思考,以及私货(不愿意看的朋友就可以关闭文章了)
本次作案手法曝光之后,相信未来的土矿也很有可能利用类似的手法进行盗币,而对普通用户而言防不胜防,事实上最近2天bsc上就有2个矿翻车,金额还都不小。
作为交易所公链,不管是bsc,还是heco,他们的核心竞争力是什么?是去中心化吗?
我个人认为不是的。
bsc,heco等,他们最大的优势应该是1. 低手续费 2. 交易所公信力背书
以bsc为例,作为一个类似DPos的设计公链,跨链桥非去中心化,以及上面的大部分资产都是币安发放的情况下,即使代码开源,谈何去中心化?
个人认为,反而应该反其道行之,引入类似EOS的仲裁机制,最大程度的保证用户在链上的的财产安全才是生存之道。
本次popcornswap事件以及最新翻车的土矿,币安目前都还在踢皮球阶段,要求用户去报案或者说我们在监视黑客地址等等,而不是想办法帮用户挽回损失,长此以往,当土矿跑路越来越多的情况下,请问币安,谁还会去用BSC?
如果类似事件在Heco或者其他交易所公链发生,而他们拥有类似的安全机制,保证了用户的资产安全,这样大部分散户才敢放心的在上面继续使用,毕竟,你作为交易所背书的公链,优势不是,也不可能会是去中心化。
希望所有交易所公链技术团队三思,通过代码升级保证自己公链的安全性来差异化竞争,也许还不太晚。
原标题:Popcornswap合约解析+教你如何避免大部分土矿风险
作者:iNexusPro
这里以在线对比工具 https://www.diffchecker.com/ 为例
原标题:Popcornswap合约解析+教你如何避免大部分土矿风险
作者:iNexusPro
西班牙加密局Arbistar集体诉讼律师呼吁在审判前拘留其CEO:12月16日消息,在针对西班牙加密货币交易机器人开发商Arbistar的四起集体诉讼中,一名代表用户的律师呼吁当局对其首席执行官采取“强有力”行动。当地媒体报道称,这位名叫Carlos Aranguez的律师表示,当局对Arbistar首席执行官Santi Fuentes的反应与他所犯罪行的严重程度不符,Fuentes涉嫌数百万用户。自去年10月因涉嫌参与Arbistar运营的价值数十亿美元的加密庞氏局而被捕以来,Santi Fuentes一直处于缓刑状态。他被指控犯有欺诈和罪。Carlos Aranguez称:“我们希望对Santiago Fuentes进行预防性拘留,并要求我们的客户收回被的财产。在这样的局面前,司法当局却没有做出强烈反应,这是不可接受的。”(Cointelegraph)[2020/12/16 15:20:40]
火币大学方军:区块链未来作为数字经济基础设施 实现价值交易:8月26日,火币大学主办的区块链数字精英实训营正在广东开课。火币大学顾问合伙人方军以《从互联网+到区块链+》为主题进行授课。 \n方军表示,区块链1.0是数字现金系统,以比特币系统为典型代表,区块链用于“价值表示”、“价值转移”的概念验证;区块链2.0是数字资产系统,典型代表是以太坊与它的通证系统,通证带来数字资产数量暴增,促使“通证经济”的形成;区块链3.0是价值交易的云服务平台,以太坊等公链,蚂蚁链等Baas为典型代表,软件系统与云服务完善,领域、行业应用出现;区块链未来作为数字经济基础设施,实现价值交易,以“大用户量、大量交易的应用”为典型代表,基于区块链的应用大量涌现,价值互联网到来。[2020/8/26]
公司Release计划推出基于区块链的社交媒体电商平台:科技创企Release计划通过区块链及通证化计划,提供一个强健、分布式、去中心化的社交媒体电子商务平台。该平台可以被视为一个基于区块链的商品交易市场,通过一个人人都能获得真实信息的社会生态系统,将买家和卖家带到同一个平台下。(GlobenewsWire)[2020/7/12]
标签:
金色财经 区块链1月31日讯 一份好的加密项目审计报告可以让客户发现潜在问题,并助之解决这些问题,最后可以帮助该项目或产品得到改进,使客户获得更高的价值。不过,这要建立在审计人员以专业和客观的态度与你合作,双方共同实现这个目标的前提基础上。如果审计人员都能遵循一定的质量和道德标准,那么客户就能更好地达到他们的预期和要求。
1/31/2021 9:17:39 PM近日,多名流动性“矿工”对吴说区块链表示,币安智能链上又一个DeFi“土矿”popcornswap跑路,项目方卷走近48000个BNB,价值约215万美金。数日内还有三个项目(Zap Finance和Tin Finance、SharkYield)跑路。目前SharkYield跑路疑似带走了6000个BNB。
1/31/2021 8:40:19 PM在论坛帖子《作为通用钱包的Cosmos Hub》中,我提出了用户和区块链之间的未来主义关系,这涉及到当前Cosmos-SDK和即将到来的功能的组合。"子私钥"(或Msg授权)被称为Interchain Accounts(ICS-27)的标准以及Cosmos Hub本身的安全性。
1/31/2021 7:57:41 PM最近惊闻BSC上2个土矿又跑路了,金额在千万级别,有一个矿朋友还中招了,实在是看不下去,和大家谈谈,如何避免大部分土矿的坑。
1/31/2021 7:20:18 PM一生能够积累多少财富,不取决于你能够赚多少钱,而取决于你如何投资理财,钱找人胜过人找钱,要懂得钱为你工作,而不是你为钱工作。多一项投资了解,就多一份赚钱的机会。 据1月31日消息,目前华尔街和机构投资者对比特币的关注程度可能会将比特币推至新高,比特币正变得越来越像黄金。
1/31/2021 3:10:50 PM如题,问题是Chamath Palihapitiya 在 Twitter 上自比2008年大空头所问。 “2008年,所有的钱都是机构通过利用市场错配而获得。 2021年,的所有钱都是散户通过利用市场错配而获得...直到机构介入。 这两个件事有什么区别?” 我的回复: 2008年的卖空者纠正了病态的金融体系,使其正确。他们从贪婪的银行家那里抢钱。
1/31/2021 2:12:17 PMCoinbase现在已经计划通过直接挂牌的方式进行上市。在此之前已有市场预估Coinbase的上市市值为280亿美元。它真正开始挂牌交易时的市值不知道会是多少。但是有一点会完全肯定的是,它的市值会是非常高的PE。这样的一个结果既是Coinbase长期业务发展经营的体现,同时也是市场对其合规经营以及未来发展的高度认可。
1/31/2021 1:50:50 PM