月亮链 月亮链
Ctrl+D收藏月亮链

RAT:手把手教你如何避免大部分“土矿”风险_ATOR

作者:

时间:1900/1/1 0:00:00

手把手教你如何避免大部分“土矿”风险

文章汇

刚刚

24

最近惊闻BSC上2个土矿又跑路了,金额在千万级别,有一个矿朋友还中招了,实在是看不下去,和大家谈谈,如何避免大部分土矿的坑。

土矿一般来讲,抽走资金一般这几个步骤:

通过高APY吸引你冲动梭哈,毕竟高APY都是真金白银支撑的,收益这么高大户早来了,正所谓的收益越高,风险越大

通过一些“所谓的”安全措施让你觉得风险很低

盗取资金之后马上换为非erc代币或者无法冻结的代币,然后等待混币机会逃走

看到了这个步骤,你应该明白了,如果能够做到:

不开源的土矿一律不碰,不管他APY写的多么诱人

比特币支持者、阿根廷总统候选人Javier Milei获30.73%的选票:金色财经报道,阿根廷总统候选人Javier Milei是一名自由主义候选人,主张废除央行,并大力支持比特币,他在周日阿根廷总统初选中处于领先地位。计票结果为84%,“La Libertad Avanza”(自由进步)党的Milei获得30.73%的选票,而 \"共同变革党 \"和 \"祖国团结党 \"的候选人分别获得了 28.14% 和 26.84% 的选票。尽管对加密货币持积极态度,但Milei并不主张在阿根廷(类似于萨尔瓦多)使用比特币作为法定货币。相反,Milei呼吁经济“美元化”。[2023/8/14 16:24:42]

开源的土矿,如果要参与,一定是在diff合约,检查变量参数之后,少量资金参与。

那么相信你能规避大部分风险,下面简单讲一下怎么diff合约,怎么检查参数,以及一些衍生的思考。

第一步:diff

这里以在线对比工具?https://www.diffchecker.com/?为例

注意一点,diff的合约需要是你真实要转币进去的合约地址

DefiLlama旗下DEX聚合器累计交易量已达50亿美元,或为贡献者和用户空投:3月19日消息,链上数据分析网站DefiLlama推出的DEX聚合器累计交易量已达到50亿美元,其中63280名独立用户使用聚合器进行了总计410200次兑换,近80%的交易量来自以太坊,Arbitrum占10%但交易频次最多。

目前平均每天约3000人参与交易,1inch、0x和Paraswap是交易量最大的三个聚合器,3月11日是交易量最大的一天,达6亿美元。此外DefiLlama表示下一步正在准备许可证、集成Gnosis链和交易历史记录,并暗示可能为DeFiLlama贡献者和用户带来空投。[2023/3/19 13:13:16]

首先拿到原版的MasterChef代码:

https://bscscan.com/address/0x73feaa1ee314f8c655e354234017be2193c9e24e#code

接着这里以popcornswap为例:

https://bscscan.com/address/0x584527ded17aceb3dc617c40b04e8fe9afc57096#code

BUSD出现短时溢价升至1.03美元:3月13日消息,CoinGecko数据显示,Paxos发行的美元稳定币BUSD出现短时溢价,一度升至1.03美元高点,当前小幅回落至1.01美元,24小时涨幅达到1.5%,市值涨至84.4亿美元。[2023/3/13 12:59:43]

分别吧代码复制到两边,开始diff

这里我保存了diff结果,可以直接点这个link:https://www.diffchecker.com/VqaCP3DK

像结果中字符串的修改,或者//后的内容都可以忽略

如上图这种,可以忽略

如果是原版添加的代码,土狗删除的,一般也不重要,重点是土狗和原版代码不同的地方:

去中心化永续合约交易平台LionDEX发布测试版:金色财经报道,部署在Arbitrum上的去中心化永续合约交易平台LionDEX宣布上线测试版,本次测试的核心产品是为永续合约交易者提供的订单亏损保险,以及建立在GMXX4概念上的PvP-AMM交易协议。测试结束后还将对参与测试的部分用户以及GMX活跃交易者进行代币空投。[2023/3/6 12:45:02]

上图为关键差异,土狗修改了原版的migrator方法,还增加了个一个叫做preUpgrade的函数。

看到这里,如果你对合约一无所知,安全期间,就可以直接关闭页面保平安了。

这里简单分析一下差异,首先migrate方法,这个是sushiswap继承的代码,原版代码就有将池子里钱掏空的可能性。

popcorn这里,新的preUpgrade方法,是public的,代表所有人都能调用,就是一个非常可疑的点,理论上在migrator设置为恶意地址的时候能够让migrator掏空所有的钱。

第二步:检查变量

点击土狗合约的这个按钮:

Voyager于5小时前售出1449枚ETH并收到225万枚USDC:金色财经报道,Lookonchain监测数据显示,Voyager于5小时前通过Wintermute售出1449枚ETH并收到225万枚USDC,售价为1553美元。

Voyager仍在出售资产,目前持有:148774枚ETH(2.335亿美元);5.17万亿枚SHIB(5778万美元);144万枚LINK(1000万美元);1.17亿枚STMX(730万美元);41万枚AVAX(670万美元)等。[2023/3/5 12:43:12]

检查migrator,owner等变量:

可以看到migrator是0,owner是一个timelock地址,土狗的一种套路是,声称自己有timelock,给出了合约地址,但owner并不是timelock的地址,那明显就是局了。

当然timelock合约,也可以做小动作,所以也需要做diff操作,这里他的timelock没有问题,就不赘述了

那么完成了上面两步,很多资深矿工可能会觉得,timelock有的,合约变量没问题,虽然有代码存在风险,但是有timelock啊,没事,冲tmd,对低级土狗而言,可能确实就无风险了,但很可惜,popcornswap是一个略高级的土狗。看我下面分解盗币过程:

项目方通过调用:

https://bscscan.com/tx/0x38f75296e3343228c0309f8c99a24ca4f4812372f2b032f38ce25ac5a992b768

preUpgrade方法,让自己的地址有了合约里token的transferFrom权限

看前面的代码可以发现,preUpgrade确实又这个功能,但他只会给migrator这个权限,而migrator又是0,修改migrator需要经过时间锁,那么他是怎么做到的呢?

答案是:项目方在部署合约后,加timelock之前,把migrator改成了自己的地址,并通过preUpgrade提前获取了里面所有token的allowance,然后再改回migrator,添加时间锁。

因为这些tx混在项目方添加池子的tx中,普通人根本不可能去检查一个池子之前的每一个tx,所以popcornswap得以在2小时内盗取2mil的代币。

这个作案手法也引起了我的思考,目前并没有有效的工具,能够查出一个合约地址里,tokenallow给其他地址的情况,因此非常难发现问题。普通的用户,没有能力,也不太可能发现这个端倪,甚至我相信在本次事件中,一些对合约代码有所了解的土矿老司机也一并翻车。

那么popcornswap的解析就讲到哪里,下面是我个人的一些思考,以及私货

后续思考

本次作案手法曝光之后,相信未来的土矿也很有可能利用类似的手法进行盗币,而对普通用户而言防不胜防,事实上最近2天bsc上就有2个矿翻车,金额还都不小。

作为交易所公链,不管是bsc,还是heco,他们的核心竞争力是什么?是去中心化吗?

我个人认为不是的。

bsc,heco等,他们最大的优势应该是1.低手续费2.交易所公信力背书

以bsc为例,作为一个类似DPos的设计公链,跨链桥非去中心化,以及上面的大部分资产都是币安发放的情况下,即使代码开源,谈何去中心化?

个人认为,反而应该反其道行之,引入类似EOS的仲裁机制,最大程度的保证用户在链上的的财产安全才是生存之道。

本次popcornswap事件以及最新翻车的土矿,币安目前都还在踢皮球阶段,要求用户去报案或者说我们在监视黑客地址等等,而不是想办法帮用户挽回损失,长此以往,当土矿跑路越来越多的情况下,请问币安,谁还会去用BSC?

如果类似事件在Heco或者其他交易所公链发生,而他们拥有类似的安全机制,保证了用户的资产安全,这样大部分散户才敢放心的在上面继续使用,毕竟,你作为交易所背书的公链,优势不是,也不可能会是去中心化。

希望所有交易所公链技术团队三思,通过代码升级保证自己公链的安全性来差异化竞争,也许还不太晚。

原标题:Popcornswap合约解析+教你如何避免大部分土矿风险

作者:iNexusPro

挖矿

流动性挖矿

文章作者:iNexusPro

我要纠错

声明:本文由入驻金色财经的作者撰写,观点仅代表作者本人,绝不代表金色财经赞同其观点或证实其描述。

提示:投资有风险,入市须谨慎。本资讯不作为投资理财建议。

金色财经>区块链>手把手教你如何避免大部分“土矿”风险

标签:RATATOTORATORKARATE币阿童木atom币前景如何raptor币值换算GATOR

币安交易所app下载热门资讯
EARN:Yearn 遭到攻击损失1100万美元,目前该漏洞已得到缓解_Zero Collateral Dai

PANews2月5日消息,YearnFinance官方发推文称,已注意到v1yDAI?vault遭到了攻击,目前该漏洞已得到缓解,此后会发布完整报告.

1900/1/1 0:00:00
BTC:1.30晚间行情:短期趋势仍在_Polygon

文章系金色财经专栏作者币圈北冥供稿,发表言论仅代表其个人观点,仅供学习交流!金色盘面不会主动提供任何交易指导,亦不会收取任何费用指导交易,请读者仔细甄别防上当.

1900/1/1 0:00:00
DAP:DappRadar 1月报告:DeFi热度持续,NFT大放异彩_以太坊交易平台有哪些

本文来自?DappRadar译者:Odaily?星球日报念银思唐截至?1?月?21?日,以太坊?NFT?领域的交易额达到?3300?万美元,而去年?12?月仅为?300?万美元.

1900/1/1 0:00:00
NFT:你的NFT存储在链上还是链下 又是否安全呢?_比特币市值走势图最新

原文标题:《NFTsandtheOn-ChainSpectrum》当我们谈到NFT时,对于NFT的链上及链下的存储是十分重要的.

1900/1/1 0:00:00
BAS:解读Basis的当务之急和中长期战略_SIS

原标题:《Basis的算法稳定币之路》Basis目前处于水下,回到水上是其当务之急。蓝狐笔记之前介绍了Basisv2的路线图。从本周开始basis将分阶段逐步启动V2的计划.

1900/1/1 0:00:00
DEF:Messari报告:DeFi市值将吞噬摩根大通_99DEFI币

DeFi资产价格飞涨。过去一个月,DeFi的平均资产价值增长了3倍。目前诞生了6个DeFi独角兽:Uniswap和Sushiswap,Aave、Compound和MakerDAO以及Synthe.

1900/1/1 0:00:00