许多DeFi的参与者已经成为代币合约漏洞的受害者,这导致他们损失了不计其数的钱或代币。这中情况在Uniswap中最常见,因为只要他们有技术并且可以支付以太坊手续费,
任何人都被可以写一份智能合约。不幸的是,这也导致了出现许多本质上就是恶意的智能合约。
不过,绝大多数的子伎俩可以通过使用Etherscan检查智能合约来识别。以下步骤可用于确定合约是否是恶意的。为了展示好的合约和坏的合约之间的区别,本教程将首先给出一个正常合约的例子,然后给出恶意合约的例子。
正常的合约例子
1.访问以太坊浏览器;
2.在搜索栏中输入合约地址(仔细检查你是否有正确的地址);
zkSync宣布将与buidlbox合作开启zkSync Era系列黑客松:2月18日消息,zkSync宣布将与buidlbox合作开启zkSync Era系列黑客松,旨在能为任何经验水平的开发人员提供探索zkSync Era潜力的机会。该系列的首黑客松将与2月20日开启,3月19日结束,重点关注帐户抽象和Web3安全,奖池金额为25,000美元。[2023/2/18 12:14:38]
2a.如果不知道合约地址,可以通过Dextools、CMC或CoinGecko获得。
2b.需要记住的是,代币页和合约页是不同的,请确保位于合约页上。
下面是代币页的例子:
这是合约页的例子:
清华大学法学院副院长程啸:国内的NFT市场中,持有人原则上不得转售NFT获得溢价:金色财经报道,6月30日,由中国文化产业协会主办的中国数字文创行业高质量发展论坛举办。清华大学法学院副院长程啸指出,NFT赋予“数字作品”以独特性与唯一性,使其成为“数字艺术品”。围绕NFT艺术品发行和交易形成了一系列的关系,社会各界对于其合法合规的发展十分关注。其中,对于文物的NFT化进行了特别的规定,禁止个人或者组织擅自将文物扫描或者拍摄成NFT数字艺术品。如有必要对文物进行NFT形式文化创作的,应符合《文物法》等法律规定。在NFT的发行和转让中,还存在个人信息保护等问题。另外要关注金融风险,目前在国内的NFT市场中,持有人原则上不得转售NFT获得溢价,也无法从平台获得投资性收益回报,因此购买NFT的行为没有融资或者帮助他人融资的目的。但也存在一些NFT平台存在交易乱象,因此要注意金融风险。[2022/6/30 1:41:37]
3.点击上面黄色高亮的「合约」按钮;
奥斯卡影帝Anthony Hopkins:准备进行首笔NFT投资:6月9日消息,知名演员、奧斯卡最佳男主角获奖者 Anthony Hopkins 将他的个人推特账号更名为 AHopkins.eth,这是一个指向加密钱包的 ENS 名称。Hopkins 还在社交媒体向脱口秀主持人 Jimmy Fallon、说唱歌手Snoop Dogg、女演员Reese Witherspoon等 Web3 名人询问购买 NFT 的建议,称,我对所有伟大的 NFT 艺术家感到惊讶,准备进行首笔NFT投资,有什么建议吗?
Anthony Hopkins 是 Web3 的早期采用者,此前报道,去年他主演的动作片Zero Contact通过 NFT 电影平台 Vuele 首映。[2022/6/9 4:12:58]
4.选择如下所示的阅读合约:
赵长鹏:币安2018年投资Terra曾获得1500万枚LUNA并通过质押获利1200万枚UST:5月16日消息,赵长鹏在推特上表示,作为2018年向Terra投资的300万美元的一部分,币安获得了1500万枚LUNA(峰值时价值16亿美元),这部分资金仍位于币安当初接收LUNA的地址中,从未移动或出售。此外,币安还通过质押获得了1200万枚UST(并非购买所得),这些UST也从未出售或移动。此次为了在用户保护方面以身作则,币安将支持Persian Capital提出的优先赔偿小额UST持有者的方案。
此前消息,V神也对Terra基金应优先赔偿UST小额持有者的方案表示赞同,该方案认为如果优先赔偿小额持有者可以让99.6%的钱包得到完全补偿,更有利于稳定社区情绪。[2022/5/16 3:19:16]
5.现在可以阅读合约的参数,它们应该是这样的:
现在怎么办?
这就是最棘手的地方,因为有无数个潜在的参数可以包含到一个代币的智能合约中。在上面的例子中,只有8个参数,这是一个正常合约的标志。因为所有这8个参数都是代币所必需的,并且不会引发「抽毯子」。
rugpull,即「抽毯子」
其他代币的合约也一样,仍然可以使用完全相同的步骤来阅读合约。在恶意合约中有一些常见的危险信号,这些将在后文概述。现在我们知道了如何访问和查看智能合约参数,就可以确定哪些是潜在的恶意代码。
恶意合约例子
1.铸币功能——这个功能允许铸造更多的代币,从而增加了供应量,并可能允许铸币者在市场上卖出这些代币。这是最常见的导致相关代币价格崩溃的情况。声明:一些代币具有mint功能,因为依赖于弹性供应。但除非有造币的理由,或相关的规则存在,否则不应该有mint功能。检查谁是mint功能的所有者是很重要的:如果所有者是dev,这显然是一个危险信号;如果minter是一个基于数量/价格的智能合约,这就是去中心化的,不太可能是一个局。
2.白名单功能(
Whitelist
)——这个参数只有在项目进行随机预售时才会出现,功能是要求白名单的地址才可以参与购买,以确保没有超额认购。如果项目没有预售,并且在合约中仍然有这个功能,那么它可能被用来使得任何不在白名单上的地址无法出售。也就是说,你可以买,但不能卖。
3.冻结功能(
Freeze
)——顾名思义,这个功能可以在任何时候冻结资产交易。虽然简单,但它可以很明显地阻止人们出售资金池中的代币,锁定以太和原生代币直到解冻。
3a.叠加所有权转移功能(
TransferOwnership
),如果合约创建者拥有冻结功能的控制权,那么他们可以冻结合约,然后将所有权发送到烧毁地址。这样就「杀死了」合约中的以太坊和其他代币,这部分代币将永远无法操作。??
4.不是特定的参数,而是一个代币具有的参数越多,被攻击的参数也就越多。除非代币的项目需要这些参数,否则不应该随意地将它添加到代码中。
其他的注意事项
1.「0多到难以计量」的总量,或者说,一个地址拥有绝大部分的代币。通常可以看到部署合约的地址拥有大部分的代币,这是一个潜在的危险信号。
2.Uni-v2池的代币量,明显小于最大个人持有者的代币量。注意,这里并不包括staking,因为staking地址是众多地址转入的累计额。这是「鲸鱼」分布不均的标志,「鲸鱼」破坏生态系统的可能性越来越大。
注意:正常地址和合约地址之间的区别是地址旁边的符号。用黄色突出显示的符号表示该地址是一份合约。如果这个符号不存在,那么这个地址就是一个个人地址。如果合约中出现了大量的代币,那么了解它们的用途就非常重要了(比如用于staking、线性解锁或锁定团队代币等)
3.匿名团队很可能是一个危险信号,但是也应该理性看待匿名性。如果产品是健全的,安全措施已经到位,开发人员的代码和对问题的回答都是透明的,那么匿名不应该是一个负面因素。但如果匿名和其他危险信号同时出现,那就意味着风险显著增加。
总结
总的来说,与其他的投资相比,以太坊上的Defi合约的风险肯定很高。然而,了解合约运作的基本知识,并能够识别出潜在的危险信号,可以帮助用户降低这种风险。在区块链上进行交互总是有风险的,但是投资于没有恶意代码的合约可以显著防止更多的损失,并且从长远来看可能有助于你的收益。
原文来源:GemHunters
来源:金色财经
HecoFi(HecoFinance)?是一个基于火币生态链?Heco?的去中心化聚合挖矿平台.
1900/1/1 0:00:00原作者:Messari分析师RyanWatkins翻译:MaryLiuMessari是一家提供加密实时数据以及加密指标、新闻和顶级报告的研究机构,其团队定期发布业内各个维度的分析报告和洞见.
1900/1/1 0:00:00根据区块链浏览器TRONSCAN最新数据显示,1月19日至2月1日,波场TRON每日交易数均突破300万。目前,波场TRON交易总数已达1,524,053,867,突破15.2亿.
1900/1/1 0:00:00周二晚间有意义的音讯:欧美指数大涨,利好A股大盘指数。隆基股份601012再签73亿元多晶硅大单,利好太阳能板块。美股游戏驿站GME持续大跌,利空创业板次新股.
1900/1/1 0:00:00阿空之前曾说到BTC已经是海外金融机构对抗通胀的"良药",ETH是最理想的价值储备。不少机构公司都开始着手布局数字货币投资,照目前加密货币的发展趋势看来,黄金作为对冲全球风险的工具可能正在失.
1900/1/1 0:00:002021年CYCA中国文化管理协会青少年文化艺术委员会正式面向全国招募,全面贯彻党的教育方针,促进儿童素质艺术教育并深入实施,从少儿形体礼仪入手,辅助青少年养成良好的生活习惯和优良姿态.
1900/1/1 0:00:00