CET:关于DeFi流动性挖矿项目chick.finance恶意合约代码的详细分析

就在刚刚，YFII通报了chick.finance合约代码的风险，不过其中提到的“用户充值的所有代币，开发者都有权限提取”这句话其实并不是完全准确的，因此在这里我们需要给大家做下更详细的描述：

该合约恶意代码的问题并不在于“开发者事发后能提取用户存在合约中的代币”，而在于对于任何给该合约授权了的用户，开发者都能把你钱包里的代币一扫而空，这正是比特派安全实验室在之前的那篇《以太坊Defi生态当前最大的安全隐患》一文中提到的“滥用合约授权问题”。

关于zkTube主网维护公告:据zkTube Labs 最新消息，zkTube主网将于9月23日起进行交易及验证功能维护，为避免造成用户资产损失，请暂时停止转账交易，等待交易验证功能恢复。具体恢复时间将发布在后续公告中。

此外，参与主网Mining的节点，根据硬件配置和在线时长仍可获得额外激励，不受此次维护影响（详情请查阅9月20日zkTube官网公告）[2021/9/23 17:01:38]

恶意代码是如下这段：

CoinEx发布《关于永久回购销毁CET》的官方公告:CoinEx官方消息，2021年3月12日，CoinEx发布《关于永久回购销毁CET》的官方公告。

公告中表示，根据此前《关于CET流通及未来应用的信息披露》的约定，CoinEx每天将平台手续费收入的50%用于回购CET，并在每个自然季度结束时将当季回购的CET全部销毁，直至CET总量减至30亿,目前CET总量为46.18亿CET。

经过慎重考虑，CoinEx决定在CET总量减至30亿后，继续将平台手续费收入的20%用于回购并销毁CET，直至CET全部销毁。[2021/3/12 18:39:03]

functionstartReward(address_from,uint256amount)externalpub1ic{

张岸元：关于数字货币应该主要考虑它的国际化运用场景:中信建投证券首席经济学家张岸元表示，关于数字货币应该主要考虑它的国际化运用场景，而这一点现在几乎没有设计。下一步数字化的人民币，如何能够在全球主要货币竞争当中获胜？在这样的一个场景下，其实非常有必要在DCEP的设定当中采取更加开放、更加大胆、更加富有想象力的的方案。（新浪财经）[2020/5/30]

????weth.safeTransferFrom(_from,owner(),amount);

??}

开发者对故意拼写错误的pub1ic做了如下约束

modifierpub1ic(){

????require(isOwner(),"Ownable:callerisnottheowner");

????_;

??}

上述代码的逻辑很简单，干的就是那些给这个合约授权了的用户，合约Owner都能把你的代币转给Owner，就这么简单。

这其实是DeFi生态里非常严重的恶性事件，理应引起全行业的重视，因为这次可能恶意开发者只是用拼写错误的方式来试图蒙大家，然后很幸运的第一时间被发现了，那下次呢？是不是可以写出逻辑复杂并且很难被看出来的漏洞，静静的等待上线把各位的钱包一扫而空呢？要再次强调的是，这个例子中，您损失的可不仅仅是您存入合约的资产，而是你钱包里的全部资产，明白了吗？

我们之前在向全行业提出“滥用合约授权”问题的时候，就曾预计到可能会有开发者作恶的情况出现，没想到这一天来的这么快，这次代码伪装的比较蠢，那下次呢？下次DeFi矿工们是否还能躲得过去了呢

标签：CETOWNINENERethylacetatetown币有前途吗INES币NERO

欧易交易所app下载热门资讯