CAR:關于DeFi流動性挖礦項目chick.finance惡意合約代碼的詳細分析

就在剛剛，YFII通報了chick.finance合約代碼的風險，不過其中提到的“用戶充值的所有代幣，開發者都有權限提取”這句話其實并不是完全準確的，因此在這里我們需要給大家做下更詳細的描述：

該合約惡意代碼的問題并不在于“開發者事發后能提取用戶存在合約中的代幣”，而在于對于任何給該合約授權了的用戶，開發者都能把你錢包里的代幣一掃而空，這正是比特派安全實驗室在之前的那篇《以太坊Defi生態當前最大的安全隱患》一文中提到的“濫用合約授權問題”。

Charles Hoskinson駁斥關于Cardano治理的中心化指控:3月5日消息，Cardano創始人Charles Hoskinson駁斥了圍繞Cardano治理結構的中心化指控。在推特上自稱“Web3顧問”的Vanessa Harris聲稱Cardano開發公司擬IOG在當前結構設置下永遠不會失去對該網絡的控制。

Harris特別引用了CIP-1694（Cardano改進提案）作為證據，證明IOG和其他實體將在除最極端情況外的所有情況下保持對Cardano網絡的控制。

對此，Hoskinson駁斥這些說法是“絕對錯誤的”，并指責Harris傳播FUD。在Twitter Spaces的一次談話中，Hoskinson承認，治理是“一件復雜的事情”。

在Harris有爭議的帖子中，她提出了對憲法委員會權力的擔憂，她聲稱該委員會實際上屬于IOG，而普通的ADA用戶如果不成為DRep就不能參與治理，加密貨幣社區對此反應不一。（U.Today）[2023/3/5 12:43:28]

惡意代碼是如下這段：

聲音 | Joseph Young：Libra聽證會是在國家電視臺播出的關于比特幣的長篇廣告:加密分析師Joseph Young發推稱：Libra聽證會是在國家電視臺播出的關于比特幣的長篇廣告。[2019/7/18]

functionstartReward(address_from,uint256amount)externalpub1ic{

OKEx發布關于提幣及法幣交易服務開放時間的說明:OKEx發布公告稱，由于技術升級，少量用戶資金出現顯示錯誤，目前用戶數據已修復并復核完畢，法幣業務于2018年5月24日14:30（HKT）開放，提幣預計2018年5月24日17:00（HKT）開放。鑒于本次升級給用戶帶來的不便，OKEx平臺決定本周五“快樂星期五”活動中每個用戶的鼓勵金將在原有基礎上增加50%。[2018/5/24]

????weth.safeTransferFrom(_from,owner(),amount);

??}

開發者對故意拼寫錯誤的pub1ic做了如下約束

modifierpub1ic(){

????require(isOwner(),"Ownable:callerisnottheowner");

????_;

??}

上述代碼的邏輯很簡單，干的就是那些給這個合約授權了的用戶，合約Owner都能把你的代幣轉給Owner，就這么簡單。

這其實是DeFi生態里非常嚴重的惡性事件，理應引起全行業的重視，因為這次可能惡意開發者只是用拼寫錯誤的方式來試圖蒙騙大家，然后很幸運的第一時間被發現了，那下次呢？是不是可以寫出邏輯復雜并且很難被看出來的漏洞，靜靜的等待上線把各位的錢包一掃而空呢？要再次強調的是，這個例子中，您損失的可不僅僅是您存入合約的資產，而是你錢包里的全部資產，明白了嗎？

我們之前在向全行業提出“濫用合約授權”問題的時候，就曾預計到可能會有開發者作惡的情況出現，沒想到這一天來的這么快，這次代碼偽裝的比較蠢，那下次呢？下次DeFi礦工們是否還能躲得過去了呢

Tags：CAROWNCARDcardanoOSCAR幣Clown PepeCARDS幣cardano幣評價

PEPE