RAT:手把手教你如何避免大部分“土矿”风险

手把手教你如何避免大部分“土矿”风险

文章汇

刚刚

24

最近惊闻BSC上2个土矿又跑路了，金额在千万级别，有一个矿朋友还中招了，实在是看不下去，和大家谈谈，如何避免大部分土矿的坑。

土矿一般来讲，抽走资金一般这几个步骤：

通过高APY吸引你冲动梭哈，毕竟高APY都是真金白银支撑的，收益这么高大户早来了，正所谓的收益越高，风险越大

通过一些“所谓的”安全措施让你觉得风险很低

盗取资金之后马上换为非erc代币或者无法冻结的代币，然后等待混币机会逃走

看到了这个步骤，你应该明白了，如果能够做到：

不开源的土矿一律不碰，不管他APY写的多么诱人

Saddle Finance提议停止运营并将资金分配给投资者:金色财经报道，基于以太坊的加密货币交易协议Saddle Finance正在投票提议停止运营，并将其资金分配给投资者。Saddle的创始人Sunil Srivatsa周二提议将其金库清算为Arbitrum (ARB) 代币，并将收益空投给Saddle的SDL和veSDL代币持有者，其中veSDL持有者获得四倍的分配。目前尚不清楚Saddle金库有多少资金。

这次社区投票是在Curve重大黑客攻击破坏了基于以太坊的去中心化金融（DeFi）之后进行的，根据Srivatsa的博客文章，这提醒了Saddle的团队可利用漏洞的威胁始终存在。他表示，该协议的开发人员需要在2023年9月30日之前退出该项目。

Saddle 此前已从风险投资者那里筹集了超过1000万美元。该平台用于稳定币和其他同类资产之间的交易，提供与Curve类似的功能，之前曾面临克隆Curve 代码库的指控。根据其网站上的数据，该平台目前持有价值约200万美元的用户存款。[2023/8/9 21:33:10]

开源的土矿，如果要参与，一定是在diff合约，检查变量参数之后，少量资金参与。

法国国民议会就强制性加密公司许可进行投票:金色财经报道，法国就一项针对加密货币公司的新监管制度将于周二晚上在该国国民议会进行投票。法国立法者正在讨论是否在欧盟范围内的法规于2024年底生效之前对数字资产服务提供商实施强制许可。?

社会自由主义参议员Hervé Maurey最初提议，数字资产公司应在今年10月之前获得强制许可。这受到了加密行业的冷遇，因为没有一家公司获得难以获得的认证，目前这是可选的。?

Hervé Maurey表示，最近 FTX 的破产凸显了任何加密资产投资的固有风险，尤其是当公司在任何监管之外运营时，他对一项更广泛的欧盟法律法案提出了修正案。除了 Maurey 的修正案外，国民议会还将权衡其他两项：一项将许可截止日期推迟，为公司提供更多时间，另一项将以更简单的注册取代强制许可。?[2023/1/24 11:28:24]

那么相信你能规避大部分风险，下面简单讲一下怎么diff合约，怎么检查参数，以及一些衍生的思考。

第一步：diff

这里以在线对比工具?https://www.diffchecker.com/?为例

Crypto Blockchain Industries计划通过发行ABSA筹集490万欧元:金色财经报道，Crypto Blockchain Industries（CBI，Euronext Growth Paris：FR0014007LWO - ALCBI）发行含认股权证的股份（\"ABSA\"），包括一股新股（\"新股\"）和一份认股权证（\"BSA\"）。CBI在保留新股(“新股”)和认股权证(“BSA”)的优先认购权(新股和BSA统称为“ABSA”)的情况下增资。ABSA的发行金额约为490万欧元，如果ABSA全部行使，最高金额约为770万欧元。

CBI正在开发AlphaVerse，这是一个开放和连接的虚拟世界，今天它包括音乐、视频游戏、数字艺术和慈善领域的许多世界，现在它正在扩展到足球世界。[2023/1/17 11:15:26]

注意一点，diff的合约需要是你真实要转币进去的合约地址

首先拿到原版的MasterChef代码：

https://bscscan.com/address/0x73feaa1ee314f8c655e354234017be2193c9e24e#code

安全公司：AurumNodePool合约遭受漏洞攻击简析:金色财经报道，据区块链安全审计公司Beosin EagleEye监测显示，2022年11月23日，AurumNodePool合约遭受漏洞攻击。

Beosin分析发现由于漏洞合约的changeRewardPerNode函数未进行验证，导致攻击者可以调用该函数进行任意值设置。

攻击者首先调用changeRewardPerNode函数将每日奖励值设置成一个极大数，接下来调用claimNodeReward函数提取节点奖励，而节点奖励的计算取决于攻击者设置的rewardPerDay值，导致计算的节点奖励非常高。而在这一笔交易之前，攻击者便通过一笔交易(0xb3bc6ca257387eae1cea3b997eb489c1a9c208d09ec4d117198029277468e25d)向合约存入了1000AUR，创建了攻击者的节点记录，从而使得攻击者能够提取出该节点奖励。最终攻击者通过该漏洞获得约50个BNB($14,538.04)。[2022/11/23 8:01:04]

接着这里以popcornswap为例：

UniSwap Labs：7种不良地址会被屏蔽:金色财经报道，据 Uniswap 软件工程师 Jordan Frankfurt 在 GitHub 评论中透露，自从 UniSwap 与与区块链分析公司 TRM Labs 合作后，7 种类型的不良地址会被屏蔽，分别是：1、交易混合器中的被盗资金；2、受制裁的地址；3、已知的欺诈资金；4、被盗资金；5、用于资助恐怖主义的资金；6、来自黑客的资金；7、与儿童性侵犯有关的资金。（bitcoinist）[2022/8/21 12:38:33]

https://bscscan.com/address/0x584527ded17aceb3dc617c40b04e8fe9afc57096#code

分别吧代码复制到两边，开始diff

这里我保存了diff结果，可以直接点这个link：https://www.diffchecker.com/VqaCP3DK

像结果中字符串的修改，或者//后的内容都可以忽略

如上图这种，可以忽略

如果是原版添加的代码，土狗删除的，一般也不重要，重点是土狗和原版代码不同的地方：

上图为关键差异，土狗修改了原版的migrator方法，还增加了个一个叫做preUpgrade的函数。

看到这里，如果你对合约一无所知，安全期间，就可以直接关闭页面保平安了。

这里简单分析一下差异，首先migrate方法，这个是sushiswap继承的代码，原版代码就有将池子里钱掏空的可能性。

popcorn这里，新的preUpgrade方法，是public的，代表所有人都能调用，就是一个非常可疑的点，理论上在migrator设置为恶意地址的时候能够让migrator掏空所有的钱。

第二步：检查变量

点击土狗合约的这个按钮：

检查migrator，owner等变量：

可以看到migrator是0，owner是一个timelock地址，土狗的一种套路是，声称自己有timelock，给出了合约地址，但owner并不是timelock的地址，那明显就是局了。

当然timelock合约，也可以做小动作，所以也需要做diff操作，这里他的timelock没有问题，就不赘述了

那么完成了上面两步，很多资深矿工可能会觉得，timelock有的，合约变量没问题，虽然有代码存在风险，但是有timelock啊，没事，冲tmd，对低级土狗而言，可能确实就无风险了，但很可惜，popcornswap是一个略高级的土狗。看我下面分解盗币过程：

项目方通过调用：

https://bscscan.com/tx/0x38f75296e3343228c0309f8c99a24ca4f4812372f2b032f38ce25ac5a992b768

preUpgrade方法，让自己的地址有了合约里token的transferFrom权限

看前面的代码可以发现，preUpgrade确实又这个功能，但他只会给migrator这个权限，而migrator又是0，修改migrator需要经过时间锁，那么他是怎么做到的呢？

答案是：项目方在部署合约后，加timelock之前，把migrator改成了自己的地址，并通过preUpgrade提前获取了里面所有token的allowance，然后再改回migrator，添加时间锁。

因为这些tx混在项目方添加池子的tx中，普通人根本不可能去检查一个池子之前的每一个tx，所以popcornswap得以在2小时内盗取2mil的代币。

这个作案手法也引起了我的思考，目前并没有有效的工具，能够查出一个合约地址里，tokenallow给其他地址的情况，因此非常难发现问题。普通的用户，没有能力，也不太可能发现这个端倪，甚至我相信在本次事件中，一些对合约代码有所了解的土矿老司机也一并翻车。

那么popcornswap的解析就讲到哪里，下面是我个人的一些思考，以及私货

后续思考

本次作案手法曝光之后，相信未来的土矿也很有可能利用类似的手法进行盗币，而对普通用户而言防不胜防，事实上最近2天bsc上就有2个矿翻车，金额还都不小。

作为交易所公链，不管是bsc，还是heco，他们的核心竞争力是什么？是去中心化吗？

我个人认为不是的。

bsc，heco等，他们最大的优势应该是1.低手续费2.交易所公信力背书

以bsc为例，作为一个类似DPos的设计公链，跨链桥非去中心化，以及上面的大部分资产都是币安发放的情况下，即使代码开源，谈何去中心化？

个人认为，反而应该反其道行之，引入类似EOS的仲裁机制，最大程度的保证用户在链上的的财产安全才是生存之道。

本次popcornswap事件以及最新翻车的土矿，币安目前都还在踢皮球阶段，要求用户去报案或者说我们在监视黑客地址等等，而不是想办法帮用户挽回损失，长此以往，当土矿跑路越来越多的情况下，请问币安，谁还会去用BSC？

如果类似事件在Heco或者其他交易所公链发生，而他们拥有类似的安全机制，保证了用户的资产安全，这样大部分散户才敢放心的在上面继续使用，毕竟，你作为交易所背书的公链，优势不是，也不可能会是去中心化。

希望所有交易所公链技术团队三思，通过代码升级保证自己公链的安全性来差异化竞争，也许还不太晚。

原标题：Popcornswap合约解析+教你如何避免大部分土矿风险

作者：iNexusPro

挖矿

流动性挖矿

文章作者：iNexusPro

我要纠错

声明：本文由入驻金色财经的作者撰写，观点仅代表作者本人，绝不代表金色财经赞同其观点或证实其描述。

提示：投资有风险，入市须谨慎。本资讯不作为投资理财建议。

金色财经>区块链>手把手教你如何避免大部分“土矿”风险

标签：RATTORLOCSWAPMetaPirateAiGATOR币Smart Block Chain Citybabyswap币斯内普教授最新消息

火星币热门资讯