AMM:关于DeFi流动性挖矿项目chick.finance恶意合约代码的详细分析

就在刚刚，YFII通报了chick.finance合约代码的风险，不过其中提到的“用户充值的所有代币，开发者都有权限提取”这句话其实并不是完全准确的，因此在这里我们需要给大家做下更详细的描述：

该合约恶意代码的问题并不在于“开发者事发后能提取用户存在合约中的代币”，而在于对于任何给该合约授权了的用户，开发者都能把你钱包里的代币一扫而空，这正是比特派安全实验室在之前的那篇《以太坊Defi生态当前最大的安全隐患》一文中提到的“滥用合约授权问题”。

Delphi Digital向美国SEC提交关于ATS修正案的反对意见，不赞成将AMM列为证券交易所:4月19日消息，Delphi Digital法务总监_gabrielShapir0在推特上表示，Delphi Digital向美国证券交易委员会（SEC）提交对拟议ATS修正案的强烈反对，该修订部分旨在将所有“通信协议（AMM）”重新定义为潜在的证券交易所。Delphi Digital认为如果将AMM视为证券交易所，将对开源开发者造成不可能的监管负担（例如FINRA 注册），且交易所监管的主要目的例如公平准入、公共定价、可审计性等已经在AMM架构中固有存在，因此没有必要将AMM列为受监管的证券交易所。此前，美国证券交易委员会提出对1934年《证券交易法》的拟议修正案，计划修改交易所定义。[2022/4/19 14:33:02]

恶意代码是如下这段：

美国证券交易委员会收到美国两党关于加密货币监管的信函:3月16日消息，美国证券交易委员会收到美国两党关于加密货币监管的信函。(金十）[2022/3/17 14:00:59]

functionstartReward(address_from,uint256amount)externalpub1ic{

声音 | FBG资本的Nathan Li：加密行业中的人应该接受更多关于如何区分的教育:在今日共识大会新加坡站，FBG资本的Nathan Li谈到项目时表示，在加密行业中，人们应该接受更多关于如何区分的教育。投机是好事，每个人都想在这个领域赚钱。但我们应该意识到现实是什么。[2018/9/20]

????weth.safeTransferFrom(_from,owner(),amount);

??}

开发者对故意拼写错误的pub1ic做了如下约束

modifierpub1ic(){

????require(isOwner(),"Ownable:callerisnottheowner");

????_;

??}

上述代码的逻辑很简单，干的就是那些给这个合约授权了的用户，合约Owner都能把你的代币转给Owner，就这么简单。

这其实是DeFi生态里非常严重的恶性事件，理应引起全行业的重视，因为这次可能恶意开发者只是用拼写错误的方式来试图蒙大家，然后很幸运的第一时间被发现了，那下次呢？是不是可以写出逻辑复杂并且很难被看出来的漏洞，静静的等待上线把各位的钱包一扫而空呢？要再次强调的是，这个例子中，您损失的可不仅仅是您存入合约的资产，而是你钱包里的全部资产，明白了吗？

我们之前在向全行业提出“滥用合约授权”问题的时候，就曾预计到可能会有开发者作恶的情况出现，没想到这一天来的这么快，这次代码伪装的比较蠢，那下次呢？下次DeFi矿工们是否还能躲得过去了呢

标签：OWNNERAMMPHItown币瀑涨Irena Green Energyamm币价公式Philosafe Token

火必热门资讯