许多DeFi的参与者已经成为代币合约漏洞的受害者,这导致他们损失了不计其数的钱或代币。这中情况在Uniswap中最常见,因为只要他们有技术并且可以支付以太坊手续费,任何人都被可以写一份智能合约。不幸的是,这也导致了出现许多本质上就是恶意的智能合约。
不过,绝大多数的子伎俩可以通过使用Etherscan检查智能合约来识别。以下步骤可用于确定合约是否是恶意的。为了展示好的合约和坏的合约之间的区别,本教程将首先给出一个正常合约的例子,然后给出恶意合约的例子。
正常的合约例子
1.访问以太坊浏览器;
2.在搜索栏中输入合约地址(仔细检查你是否有正确的地址);
2a.如果不知道合约地址,可以通过Dextools、CMC或CoinGecko获得。
2b.需要记住的是,代币页和合约页是不同的,请确保位于合约页上。
国际刑警组织正在调查如何监督元宇宙犯罪:金色财经报道,国际刑警组织(INTERPOL)正在调查如何在元宇宙中监督犯罪。然而,国际刑警组织的一名高级官员认为,定义“元宇宙犯罪”存在一些问题。据BBC报道,国际刑警组织秘书长Jurgen Stock透露,该组织打算监督元宇宙中的犯罪活动。Stock强调了“老练和专业”的罪犯适应新技术工具进行犯罪的能力。
此前2022年10月消息,国际刑警组织推出专门为全球执法部门设计的元宇宙INTERPOL Metaverse,该元宇宙允许注册用户参观法国里昂的国际刑警组织总秘书处总部的虚拟场景,甚至可以通过其Avatar与其他官员进行互动以及为全球执法部门提供沉浸式培训课程。(Cointelegraph)[2023/2/6 11:50:10]
下面是代币页的例子:
Terra 2.0 社区已启动就有关如何分配 0.5% 应急资金提案的投票:6月9日消息,Terra 2.0 社区已启动就有关如何分配 0.5% 应急资金提案的投票,该提案建议将这部分资金分配给在 Terra Classic 上推出过符合市场需求的产品,包括产生了一定量的 TVL 和没有产生 TVL 的项目以及尚未推出过符合市场需求产品的项目,并提议向以上三类项目分别分配 250 万枚 LUNA、100 万枚 LUNA 和 150 万枚 LUNA。此外,该提案建议组件一个由部分 Terra 社区的长期成员组成的理事会监督分配工作。[2022/6/9 4:13:09]
这是合约页的例子:
《“区块链+”如何重构内容产业生态》获第三十一届中国新闻奖三等奖:金色财经报道,人民日报(2021年11月08日 第?17版)发布第三十一届中国新闻奖获奖作品目录,《“区块链+”如何重构内容产业生态》获第三十一届中国新闻奖三等奖,刊播单位:新闻与写作?,报送单位:北京记协。[2021/11/8 6:37:41]
3.点击上面黄色高亮的「合约」按钮;
4.选择如下所示的阅读合约:
5.现在可以阅读合约的参数,它们应该是这样的:
美众议院金融服务委员会:正深入研究如何更好地监管加密行业:金色财经报道,据官方推特消息,美国众议院金融服务委员会正在关注加密货币作为长期投资的影响,并正在深入研究如何更好地监管这个快速增长的行业。[2021/7/1 0:18:18]
现在怎么办?
这就是最棘手的地方,因为有无数个潜在的参数可以包含到一个代币的智能合约中。在上面的例子中,只有8个参数,这是一个正常合约的标志。因为所有这8个参数都是代币所必需的,并且不会引发「抽毯子」。
现场 | 火币集团COO朱嘉伟:区块链是解决三个和尚如何打水的问题:金色财经现场报道,百度智能云Techday11月21日在北京举行。火币集团COO朱嘉伟在会上表示,区块链技术和其他多数技术很不一样,多数技术是解决一个和尚如何打水的问题区块链是解决三个和尚如何打水的问题,因此区块链适用于多方协同的场景,可以促进数据共享、优化业务流程、降低运营成本、提升协同效率以及建设可信体系。[2019/11/21]
rugpull,即「抽毯子」
其他代币的合约也一样,仍然可以使用完全相同的步骤来阅读合约。在恶意合约中有一些常见的危险信号,这些将在后文概述。现在我们知道了如何访问和查看智能合约参数,就可以确定哪些是潜在的恶意代码。
恶意合约例子
1.铸币功能——这个功能允许铸造更多的代币,从而增加了供应量,并可能允许铸币者在市场上卖出这些代币。这是最常见的导致相关代币价格崩溃的情况。声明:一些代币具有mint功能,因为依赖于弹性供应。但除非有造币的理由,或相关的规则存在,否则不应该有mint功能。检查谁是mint功能的所有者是很重要的:如果所有者是dev,这显然是一个危险信号;如果minter是一个基于数量/价格的智能合约,这就是去中心化的,不太可能是一个局。
2.白名单功能——这个参数只有在项目进行随机预售时才会出现,功能是要求白名单的地址才可以参与购买,以确保没有超额认购。如果项目没有预售,并且在合约中仍然有这个功能,那么它可能被用来使得任何不在白名单上的地址无法出售。也就是说,你可以买,但不能卖。
3.冻结功能——顾名思义,这个功能可以在任何时候冻结资产交易。虽然简单,但它可以很明显地阻止人们出售资金池中的代币,锁定以太和原生代币直到解冻。
3a.叠加所有权转移功能,如果合约创建者拥有冻结功能的控制权,那么他们可以冻结合约,然后将所有权发送到烧毁地址。这样就「杀死了」合约中的以太坊和其他代币,这部分代币将永远无法操作。??
4.不是特定的参数,而是一个代币具有的参数越多,被攻击的参数也就越多。除非代币的项目需要这些参数,否则不应该随意地将它添加到代码中。
其他的注意事项
1.「0多到难以计量」的总量,或者说,一个地址拥有绝大部分的代币。通常可以看到部署合约的地址拥有大部分的代币,这是一个潜在的危险信号。
2.Uni-v2池的代币量,明显小于最大个人持有者的代币量。注意,这里并不包括staking,因为staking地址是众多地址转入的累计额。这是「鲸鱼」分布不均的标志,「鲸鱼」破坏生态系统的可能性越来越大。
注意:正常地址和合约地址之间的区别是地址旁边的符号。用黄色突出显示的符号表示该地址是一份合约。如果这个符号不存在,那么这个地址就是一个个人地址。如果合约中出现了大量的代币,那么了解它们的用途就非常重要了(比如用于staking、线性解锁或锁定团队代币等)
3.匿名团队很可能是一个危险信号,但是也应该理性看待匿名性。如果产品是健全的,安全措施已经到位,开发人员的代码和对问题的回答都是透明的,那么匿名不应该是一个负面因素。但如果匿名和其他危险信号同时出现,那就意味着风险显著增加。
总结
总的来说,与其他的投资相比,以太坊上的Defi合约的风险肯定很高。然而,了解合约运作的基本知识,并能够识别出潜在的危险信号,可以帮助用户降低这种风险。在区块链上进行交互总是有风险的,但是投资于没有恶意代码的合约可以显著防止更多的损失,并且从长远来看可能有助于你的收益。
原文来源:GemHunters
真香现场:到底是谁在不停拆NFT盲盒?波浪Blocklike刚刚11"DeFi助推,粉丝经济出现,场外「粉丝」与DeFi投机者,谁在跑步进场?"销售量激增.
1900/1/1 0:00:00CyberConnect发布Litepaper,CYBER效用包括治理、CyberProfile铸造支付等:5月16日消息.
1900/1/1 0:00:00加密市场在经历了多次热潮后,赋予整个区块生态链的是更高的要求:安全、效率、流动性、去中心化。尽管在2020年期间迅速冲击人们视线的DeFi、波卡、NFT、ETH2.0、存储等项目或模式,炒作空间.
1900/1/1 0:00:00作者:深链六六“人类诞生以来的第一件事情就是收藏。”2018年12月,在世界TED演讲大会上,DapperLabs创始人RohamGharegozlou侃侃而谈.
1900/1/1 0:00:00区块链如何成为第三代互联网安全中重要一环?胡飞瞳刚刚9原文标题:区块链与安全随想有关区块链安全的话题很多,涉及到链上和链下。区块链自身的安全事件也层出不穷.
1900/1/1 0:00:00对于加密货币行业来说,至少从目前来看,拜登的一系列人事任命的确释放出一丝「利好」气息,但市场走向不可能押注在一个人、或是一群人身上.
1900/1/1 0:00:00