UNI:案例 | UniCats “开后门” 钓鱼 十数万UNI“洗白”

时值国庆大假期间，加密钱包初创公司ZenGo的研究员亚历克斯·马努斯金爆料称，有用户一夜之间损失了价值14万美元的Uniswap代币UNI，而这与名为UniCats的“收益农场”有关。

据了解，一些参与DeFi提供流动性挖矿赚取收益的用户最近发现了UniCats这个新农场。从界面来看，UniCats类似YamFinance和SushiSwap；收益方面，不仅可挖矿本地MEOW代币，同时还可挖出包括UNI在内的其它代币。

慢雾安全预警：Nuxt.js出现远程代码执行漏洞攻击案例，请相关方及时升级:金色财经报道，据慢雾区消息，Nuxt.js远程代码执行漏洞(CVE-2023-3224) PoC在互联网上公开，目前已出现攻击案例。Nuxt.js是一个基于Vue.js的轻量级应用框架，可用来创建服务端渲染(SSR) 应用，也可充当静态站点引擎生成静态站点应用，具有优雅的代码结构分层和热加载等特性。Nuxt中存在代码注入漏洞，当服务端以开发模式启动时，远程未授权攻击者可利用此漏洞注入恶意代码并获取目标服务器权限。其中，Nuxt == 3.4.0，Nuxt == 3.4.1，Nuxt == 3.4.2 均受到影响。加密货币行业有大量平台采用此方案构建前后端服务，请注意风险，并将Nuxt升级到3.4.3或以上版本。[2023/6/15 21:39:39]

界面友好，产能不赖，资产入场。

广东高院发布虚拟货币典型案例：不法投融资活动不受法律保护:金色财经报道，2月22日，广东省高级人民法院发布2021年度全省法院涉互联网十大案例。其中，韦某等与章某等网络侵害虚拟财产纠纷案入选。

该案中，XIN币为一种加密虚拟“货币”。2019年7月，韦某等组成A团队、姜某等组成B团队、章某等组成C团队，共同投资XIN币获取收益，其中韦某等四人投入的XIN币是向散户募集所得，委托、募集行为均发生在中国境外。2020年3月章某将C团队保管的私钥删除，导致三团队投资的XIN币无法取出。韦某等诉请章某等赔偿XIN币丢失的经济损失1190万元。广州互联网法院审理认为，XIN币不具备法定货币的合法性，投资者通过境外募集获取XIN币并进行投资获取收益的投资交易行为，危害公众财产安全，扰乱社会经济秩序，损害社会公共利益，违背公序良俗，不受法律保护，由此引发的损失应自行承担，故驳回韦某等全部诉讼请求。（人民资讯）[2022/2/22 10:08:17]

当用户准备提供流动性时，UniCats弹出提示框，要求获取消费限制许可，而该许可的限制是：无限。

Telegram“搬砖套利”最新案例，三用户被834个ETH:据追币猎人CoinHunter报道，近三日有三名用户提交丢币事件反馈称遭受Telegram“搬砖套利”。不法分子假借“搬砖套利”的说辞，声称1个ETH可以兑换50-100(根据行情调整）个“HT”，从而引导三名用户将834个ETH转入者0xcf7eb5e、0x8e047fc开头的合约地址中，并返还给用户虚假“HT”从而取用户资产。据CoinHunter统计，“搬砖套利”局总额已超50000枚ETH，截至报道时局仍在持续运转。[2020/4/21]

用户可能怎么也不会想到，在这个无限消费的许可的背后，UniCats开发者早已暗置了一个直通自家资产的“后门”。用户的资产可由此被悄悄转移至开发者指定的地址。

就这样，有大胆且不幸的“农夫”瞬间被窃取了价值14万美元的UNI，而其他用户也有不同程度的损失。

声音 | 刘昌用：在BCH分叉案例中，重组保护真真切切地阻止了CSW和Calvin的51%攻击威胁:1月9日消息，北京大学经济学博士、区块链社区意见领袖刘昌用表示，在BCH分叉这个案例中，正是重组保护真真切切地阻止了CSW和Calvin的51%攻击威胁，这是历史上最严重的一次公开的、持久的51%攻击威胁。攻击者宣称绝不分叉，宁可BCH两年不能用，也要持续算力攻击消灭ABC一方。但ABC加入重组保护后，Calvin和CSW立刻宣布放弃对BCH的争夺，分叉出了BSV。一个真刀实的战争结果，胜过一百个纸上谈兵的花样逻辑。重组保护在极端的情况下可能会产生意外分叉，或者有新的攻击方法。但没有一劳永逸的方案，只能是不断发现问题、解决问题。[2019/1/9]

盗窃“现场”

那么，UniCats开的这个“后门”，又是如何对用户进行窃金操作的呢？

苏宁消费金融对接苏宁联盟链 打造金融区块链应用案例:据中国证券网消息，近日，苏宁消费金融通过独立部署节点成功接入苏宁联盟链，开展区块链黑名单数据上传和查询等业务，打造金融区块链应用案例，助力金融科技发展。[2018/6/25]

1、盗窃者首先将UniCats的owner权限转移给一个合约地址。

2、盗窃者通过获得owner权限的合约地址调用UniCats的setGovernance方法。

3、setGovernance函数调用对于代币的transferFrom函数，将用户资产转移到盗窃者地址。

第2、3步为此次盗窃的核心步骤，如下图所示：

“后门”分析

UniCats合约中的setGovernance函数是实现盗窃的关键。通过调用此函数，UniCats合约即可作为调用者，能够向任意合约发起任意调用。

据上图所示，调用该方法可输入两个参数?,即一个地址类型的“_governance”和一个bytes类型的“_setData”。而函数的governance.call(_setupData)其实是表示向参数“_governance”地址发起一笔交易，其calldata为参数“_setData”。如此一来，只要有权限调用这个方法，便可以借合约的身份发起任意交易。

在进行代码编写时，其注释表示此函数是一个修改治理合约的函数，如下图所示：

事实上，根据成都链安的审计经验，修改治理合约通常并不需要调用call。而且，UniCats在对用户资产进行盗窃时，还刻意多次变换owner地址，如下图所示：

不仅如此，资产在转出后还立刻被流入混淆器，如下图所示：

如此操作，老练狠辣、一气呵成，因此基本可以断定，该项目就是一个彻头彻尾的局，为的就是钓鱼而上线。

令人细思极恐的是，在本案例中盗窃者调用了transferFrom方法对用户的资产实施转账，这就使得即便存在于钱包的用户资产，也可能面临被盗的风险。由于在合约授权时发起的是无额度限制授权，因此，一旦授权许可通过，合约就有权转移用户所有的资产。

成都链安郑重提醒，用户在进行合约授权时，使用多少，授权多少。这样操作的话，即便不幸遭遇类似欺诈性质的合约，也不会殃及钱包中的本金。如果用户不太清楚自己的授权情况，可以通过以下工具进行查询。

1、https://approved.zone

2、https://revoke.cash

3、https://tac.dappstar.io/#/

小结

于DeFi领域，用户获得新币的门槛大大降低，通过组合资产投资的确可能在短期内实现大规模的增值收益。但是，用户资产可能面临的风险状况就变得更为复杂，在这点上必须引起高度注意。

在DeFi这个“黑暗森林”，大胆冒险是禁忌一般的行为。用户资产不仅要受到客观行情波动的影响，质押时是否遭受“清算”也无法预知，而合约中的人为陷阱更是无处不在。

尤其是，不少DeFi项目都存在代理转账的逻辑，多数项目方也会直接要求用户授权最大值。也就是说，用户授权后，某些不良合约将利用留“后门”的手段，反噬用户所持的全部资产。

因此，对于用户而言，来自合约的一切许可请求都要格外注意，宁理性退场，不冒然入坑，时刻警惕恶意项目方的此类“后门”陷阱。

标签：UNIATSCATSCATAUNIT币sats币哪里可以买CATS价格cate币为什么没价格了

币安app官网下载热门资讯