UNI:嗨，机器人 ! 把你的钱都给我 ..._Uniswap

编者注：本文简述了一个非常有趣的故事，一个专门去套利的机器人，被人”套利“了，非常奇妙。

不看版：曾经在Uniswap上交易过的机器人，可以申领到400UNI。但他们需要小心！如果机器人没有得到适当的保护，就会遭到抢劫。这是一个讲述被黑客利用故事，对黑客来说，这只是利用$EMN之前的热身，也是对粗心大意的机器人操作者一个警示。

@FrankResearcher最近的推特中描述的案例，给了我们启发。

真的可以从Uniswap上交易过的合约上申领UNI，并从中窃取代币吗？

在与_进行了一些数据整理后，我们意识到，在很多情况下，这是可能的，这个漏洞可以很容易地用来窃取机器人托管的任何代币。

所以，趁早检查你的机器人吧！。

推特无法在苹果应用商店改名X：命名至少需2个字母:金色财经报道，在马斯克的力主之下，Twitter（推特）近日已经全面开启了改名进程，目前iOS、Android客户端已经更名为了X。然而根据一些苹果用户的反馈，目前在苹果App Store应用商店中，Twitter仍然保留了原始名称。《华盛顿邮报》记者Taylor Lorenz在Twitter的竞品Threads平台上发文表示，Twitter之所以无法改名，很可能是因为苹果App Store要求应用命名“至少要有2个字母”。他还表示，Twitter目前在应用更新中依然将应用名描述为“Twitter”。(The Verge)[2023/7/30 16:07:04]

通用套利模式

当同一资产在两个交易所的价格不同时，就会产生在一个地方瞬间买入，在另一个地方瞬间卖出的机会。

数据：今年NFT商标申请量已超2021年的三倍:金色财经报道，美国与NFT相关的商标申请数量已超2021年的三倍。NFT商标申请在3月份达到顶峰，但此后每个月都在下降。与2021年全年相比，与NFT和其他区块链产品相关的美国商标申请数量在2022年已经增加了近两倍。去年共有2,142个与NFT相关的商标被提交。根据商标律师Mike Kondoudis汇编的美国专利商标局数据，截至2022年9月，共有6,366个此类商标被提交。今年申请商标的公司包括麦当劳、Crocs、CVS，甚至电视名人Dr.Oz。（The block）[2022/10/6 18:40:33]

例如，如果在交易所1上1UNI=0.01219ETH，而在Exchange2上1UNI=0.01321ETH，而你恰好有10个ETH，你可以：

AltLayer将在其游戏专用执行层上托管黑暗森林，并举办黑暗森林社区轮次:8月24日消息，可扩容应用程序专用执行层AltLayer Network宣布将在游戏专用执行层上托管基于零知识证明技术zkSNARKS构建的去中心化实时战略游戏黑暗森林（Dark Forest），计划在2022年9月9日至2022年9月11日（即48小时）期间举办一场黑暗森林游戏的社区轮次，游戏结束时向排行榜中前20名玩家将获得AltLayer OG徽章。[2022/8/24 12:44:42]

在交易所1上以用10ETH购买820.3445UNI。

立即在交易所2上用820.3445UNI兑换10.8367ETH。

享受你的利润，即0.8357ETH减去gas。

每个市场上都有成百上千的机器人在寻找这样的机会，这通常是一个双赢的局面。机器人为其操作者创造了利润，但同时也使市场保持了平衡。

Web3游戏生态系统提供商Fitchin完成350万美元融资:金色财经报道，Web3游戏生态系统提供商Fitchin宣布完成350万美元融资，投资方来自于一批未公开姓名的加密投资者、VC、游戏名人和体育明星。Finchin构建了恶一个Web3游戏社区平台，将电子竞技团队、内容创作者和粉丝联系在一起, 其工具可以帮助游戏社区增加收入，允许用户成为顶级团队社区的成员，参加锦标赛、购买限量NFT藏品，并参与独家活动和体验等。（finsmes）[2022/7/19 2:21:50]

简单套利机器人架构

套利的关键在于时机。套利交易者必须在别人发现机会之前，迅速采取行动，因为他们的成功取决于两个独立的交易。对他们来说，最好的解决方案通常是创建一个套利机器人。

可能的架构有很多，我不多说技术细节，但通常会包括：

Binance US为7种不同的加密货币资产添加绑定服务:金色财经报道，Binance US目前正在提供加密货币押注服务，该公司详细介绍称，目前有7种数字货币的年收益率(APYs)高达18%。客户可以通过包括binance coin、solana、avalanche、livepeer、graph、cosmos和audius在内的权益证明(PoS)加密货币赚取收益。

目前，币安美国正在为BNB、AUDIO、AVAX、SOL、ATOM、LPT和GRT等7种不同的加密资产提供押注服务。

据知情人士透露，据彭博社报道，母公司币安正面临美国证券交易委员会(SEC)的审查。据称，此次调查与加密资产币(BNB)是否是一种未注册证券有关。（news.bitcoin）[2022/6/9 4:12:03]

链外逻辑--实时跟踪市场价格和gas成本，寻找套利机会，评估风险和同时权衡风险/回报。

操作者--用于触发机器人行动的以太坊地址。

机器人本身--一个智能合约，具有存款，功能函数，参数化。

套利例子

我们来看看这个机器人被”利用“之前的历史。

例如在本次交易中，它在WETH/MCX市场上Balancer和Uniswap之间的套利赚取了0.0197ETH，花费了0.0067ETH的油费。

可以想象一下机器人和它的操作者之间的对话：

操作者发现在Balancer上的MCX价格比Uniswap的价格低一些。

操作者-"嘿，机器人，醒醒吧。这是0.65ETH。去Balancer上买一些MCX，然后马上在Uniswap上卖掉。"

机器人--"是的，是的，是的!让我们赚取利润！"

机器人在Balancer上交易0.65ETH，得到9955.29MCX。

机器人--"万岁，交易成功。让我检查一下我的口袋。哇，我有9955.29MCX，我们赚一笔吧！"

机器人在Uniswap上交易9955.29MCX，获得0.6696ETH.。

机器人--"万岁，交易也成功了。我有0.6696ETH，是由最初的0.65ETH”生“出来的。利润不错哦！我就是这样一个伟大的机器人。请抱抱我......"

潜在的攻击

要实现这一切，至少有两个命令需要机器人理解。

某种"do_arbitrage"指令，在该指令中，操作者说在什么地方、什么东西和如何交易资产；以及

某种"give_me_your_money"的指令，操作员从机器人的口袋里提取赚取的利润。

很明显，第二个指令必须尽可能的保护起来，因为操作者绝对不希望别人偷走它的珍贵Tokens。

但第一个命令似乎很安全。如果机器人足够聪明，可以检查套利是否成功，是否获利，那么操作者为什么要保护这个？甚至鼓励大家调用机器人，为我们赚钱，也许是好事呢？这其实是第一个潜在的攻击点。

这可能是操作者在被利用的机器人中留下"do_arbitrage"函数不加保护的一个原因。

第二个潜在的攻击点是在参数化调用给了太多的自由。其实这个机器人假定至少要与UniswapRouter的swapExactTokensForTokens函数进行一次交易，但这对于一个聪明的”利用者“来说并不是什么大问题。

为合约申领UNI

现在简单说一下关于申领UNI代币的问题。

正如Uniswap公告(链接)的那样，在Uniswap2上交易的每个地址都有资格申请到400UNI。这也意味着，曾经在Uniswap2上交易过的合约也可以领取UNI。

但这样一个已经部署好的机器人，很可能没有实现"申领"功能，所以你可能会觉得无能为力。

但Uniswap提供了另一种方法--你可以代另一个地址申领UNI。

这是一个使用EthTx.info的这种交易的例子。

所以合约得到了不错的新UNI代币奖励，但真正的问题是如何从机器人的口袋里提取代币？如果它是你的合约，它可能很简单。但是，如果因为某些原因无法这样做呢？

或者说，如果不是你的机器人呢？

这就是这个故事变得有趣的地方

这一切是如何发生的

免责声明：作为区块链信息平台，本站所发布文章仅代表作者个人观点，与链闻ChainNews立场无关。文章内的信息、意见等均仅供参考，并非作为或被视为实际投资建议。

本文来源于非小号媒体平台：

登链社区

现已在非小号资讯平台发布105篇作品，

非小号开放平台欢迎币圈作者入驻

入驻指南：

/apply_guide/

本文网址：

/news/9615159.html

免责声明：

1.资讯内容不构成投资建议，投资者应独立决策并自行承担风险

2.本文版权归属原作所有，仅代表作者本人观点，不代表非小号的观点或立场

上一篇：

深入解析MakeDao在新周期里的机遇和风险

标签：UNIETHSWAPUniswapuni币发行价ethereum中文翻译NSWAP币uniswap币

SAND热门资讯