就在刚刚,YFII通报了chick.finance合约代码的风险,不过其中提到的“用户充值的所有代币,开发者都有权限提取”这句话其实并不是完全准确的,因此在这里我们需要给大家做下更详细的描述:
该合约恶意代码的问题并不在于“开发者事发后能提取用户存在合约中的代币”,而在于对于任何给该合约授权了的用户,开发者都能把你钱包里的代币一扫而空,这正是比特派安全实验室在之前的那篇《以太坊Defi生态当前最大的安全隐患》一文中提到的“滥用合约授权问题”。
关于zkTube主网维护公告:据zkTube Labs 最新消息,zkTube主网将于9月23日起进行交易及验证功能维护,为避免造成用户资产损失,请暂时停止转账交易,等待交易验证功能恢复。具体恢复时间将发布在后续公告中。
此外,参与主网Mining的节点,根据硬件配置和在线时长仍可获得额外激励,不受此次维护影响(详情请查阅9月20日zkTube官网公告)[2021/9/23 17:01:38]
恶意代码是如下这段:
CoinEx发布《关于永久回购销毁CET》的官方公告:CoinEx官方消息,2021年3月12日,CoinEx发布《关于永久回购销毁CET》的官方公告。
公告中表示,根据此前《关于CET流通及未来应用的信息披露》的约定,CoinEx每天将平台手续费收入的50%用于回购CET,并在每个自然季度结束时将当季回购的CET全部销毁,直至CET总量减至30亿,目前CET总量为46.18亿CET。
经过慎重考虑,CoinEx决定在CET总量减至30亿后,继续将平台手续费收入的20%用于回购并销毁CET,直至CET全部销毁。[2021/3/12 18:39:03]
functionstartReward(address_from,uint256amount)externalpub1ic{
张岸元:关于数字货币应该主要考虑它的国际化运用场景:中信建投证券首席经济学家张岸元表示,关于数字货币应该主要考虑它的国际化运用场景,而这一点现在几乎没有设计。下一步数字化的人民币,如何能够在全球主要货币竞争当中获胜?在这样的一个场景下,其实非常有必要在DCEP的设定当中采取更加开放、更加大胆、更加富有想象力的的方案。(新浪财经)[2020/5/30]
????weth.safeTransferFrom(_from,owner(),amount);
??}
开发者对故意拼写错误的pub1ic做了如下约束
modifierpub1ic(){
????require(isOwner(),"Ownable:callerisnottheowner");
????_;
??}
上述代码的逻辑很简单,干的就是那些给这个合约授权了的用户,合约Owner都能把你的代币转给Owner,就这么简单。
这其实是DeFi生态里非常严重的恶性事件,理应引起全行业的重视,因为这次可能恶意开发者只是用拼写错误的方式来试图蒙大家,然后很幸运的第一时间被发现了,那下次呢?是不是可以写出逻辑复杂并且很难被看出来的漏洞,静静的等待上线把各位的钱包一扫而空呢?要再次强调的是,这个例子中,您损失的可不仅仅是您存入合约的资产,而是你钱包里的全部资产,明白了吗?
我们之前在向全行业提出“滥用合约授权”问题的时候,就曾预计到可能会有开发者作恶的情况出现,没想到这一天来的这么快,这次代码伪装的比较蠢,那下次呢?下次DeFi矿工们是否还能躲得过去了呢
尊敬的用户:YamFinance现充值已满足市场交易需求,AOFEX将同时开启YamFinance2.0交易及提币业务.
1900/1/1 0:00:002020年8月25日周二农历七月初七大家好,我是你们的老朋友易天说。专注从K线形态角度摸索市场动向分析行情走势,观点明确,一针见血,争取为广大币友传递最有价值的币市信息.
1900/1/1 0:00:00尊敬的用户:根据StorageCoin(STOR)?的摇号中签规则CoinBene满币已完成STOR的抽签工作.
1900/1/1 0:00:00尊敬的ZT用户:ZT上线首发的“红包(HBB)”,今日起正式跨链EOS,并开启EOS链HBB兑换。用户可使用ETH公链上的HBB以1:1兑换的形式,将HBB资产转移至EOS公链.
1900/1/1 0:00:00在经历了几天的看跌回调之后,集体加密货币行业松了一口气,主要的山寨币出现了小幅上涨,以跟上其总体看涨趋势。尽管市场上仍然出现看跌信号,但在过去的24小时内,整个市场都呈现出一片绿色信号.
1900/1/1 0:00:00亲爱的大币网(Dcoin)用户:ETHP将于8月26日上线大币网(Dcoin),具体时间安排如下.
1900/1/1 0:00:00