最近發生的跑路詐騙等事件操控者主要是通過合約後門、貔貅盤等方式進行資金騙取,而這類方式其實使用者是可以避免的。
封面:Photo by Adrien VIN on Unsplash
9 月 10 日,乙太坊聯合創始人 Vitalik Buterin X 平臺(原推特)帳戶被駭客攻擊,並且發佈了一條釣魚鏈接,內容為一條關於 Danksharding 的紀念 NFT 免費領取連結。 儘管這條推文還快被刪除,但駭客還是盜走約 70 萬美元資金。
此前 7 月,Uniswap 創始人 Hayden Adams 的 X 平臺(原推特)帳戶同樣被黑併發佈了包含釣魚連結的推文,可見近期區塊鏈生態中大量安全事件諸如釣魚攻擊依然頻發。
此前,Beosin 已經對釣魚攻擊進行過詳細的解讀,大家可詳細閱讀:UNIBOT 爆火,如何防範 Telegram 機器人相關的釣魚和詐騙?
簽名就被盜? 用過 Uniswap 的請警惕! 揭秘 Permit2 簽名釣魚
除了釣魚攻擊,還有哪些資金騙取方式值得使用者警惕? 近期,Beosin 團隊發現跑路以及價格操控事件同樣對用戶的資金造成很大的損失。
隨著區塊鏈技術越來越成熟,代碼層面的問題出現也越來越少,從而更傾向於騙局以及業務邏輯上出現的問題。 本文我們盤點一下近期常見的資金安全問題,幫使用者從根本上避免一些資金受騙。
最近發生的跑路詐騙等事件,操控者主要是通過合約後門、貔貅盤等方式進行資金騙取,而這類方式其實使用者是可以避免的,主要是要瞭解合約運行方式以及代碼原理,我們拿近期的專案來進行說明,並總結這類騙局的特點。
一、專案後門注意事項
1、特權位址修改餘額
一般涉及騙局的項目都會有一個特權位址,該位址可以隨意 mint、burn 或設置他人餘額。 這種專案存在跑路的風險,當使用者使用了大量資金購買了專案代幣后,專案方直接通過特權函數將價值幣全部兌換出來,導致專案代幣價值歸零。
以 CUZK 項目代碼為例:
CUZK 代幣合約中存在後門,特權位址可以直接給自己帳戶設置超過總供應量的代幣,如下代碼:
ccvipaaaqqq()函數會給調用者添加巨量的 CUZK 代幣,並且最後判斷調用者是否為 ciyuAdmintmrr,該位址是合約初始化時建立者設置的位址(0xf719)。
專案方通過調用 ccvipaaaqqq()函數,為自己(0xf719)添加了巨量的代幣。
隨後,特權位址使用設置的代幣將 pair 中 WBNB 全部兌換出來,導致 CUZK 幣價歸零。
2、隱藏式後門,間接添加餘額
還有一些項目並沒有直接操縱地址代幣餘額的功能,但是特權位址可以間接獲取大量代幣,從而將價值幣全部兌換出來,導致代幣價格歸零。
以 BNB 鏈上 Flashmall 專案為例:
FlashMall 合約擁有一個 setPointRate 函數,用於設置兌換率,該函數僅有特權位址能調用。
本次跑路事件主要分為以下步驟:
設置兌換率-> 兌換-> 設置兌換率-> 兌換
以下為詳細步驟:
1. 特權地址設置率為 10000。
2.0x613C 位址能將 MUSD 兌換為 10 倍的 MCoin。
3. 特權地址設置率為 1000。
4.0x613C 位址能將 MCoin 兌換為相同數量的 MUSD。
5. 通過多次轉換,0x613C 擁有了大量的 MUSD,最後將 USDT 全部兌換出來。
以下為 MCoin 與 MUSD 的兌換代碼,數量由 pointRate 決定。
總結:合約是否擁有後門,主要看有無特權函數能對任意位址代幣進行操控,或者是否有特權位址代幣增發的邏輯函數。 此外,如果是專案方擁有絕大部分流動性憑證,那麼也可能出現跑路。 用戶可以通過查看合約是否放棄特權位址,或者特權位址是否為一個正常業務的合約地址來判斷其風險程度,同時,查看流動性憑證是 EOA 帳戶擁有還是正常業務合約擁有。
二、貔貅盤項目騙局
這類項目特徵主要體現在能購買專案代幣,但是當使用者想要賣出時,交易將報錯,這類騙局合約代碼的主要體現是,第一次代幣轉帳時,將會設置一些合約狀態,而之後便不能再進行轉帳,導致使用者買入代幣,將合約狀態設置,之後便不能賣出。
以假冒 EDU 代幣專案為例:
該專案合約位址 0x4749,為 EDU 同名專案。 代幣 owner(0xac15)在 EDU pair 0xE3f2 位址中買賣代幣,並且將持有代幣發送給幣安錢包和交易所,造成有很多人參與的假像(下圖所示)。
如下代碼,在進行第一次 transfer(買幣)后,tokenGreylist[to](to 為用戶位址)將設置為 true,但是由於代碼中白名單地址狀態未公開,轉幣函數無法二次調用,開關狀態與白名單位址由 owner 控制,對於使用者來說參與該專案默認狀態下無法賣出代幣。
總結:貔貅盤項目特點就是能買入不能賣出,通過查看 transfer 以及 transferfrom 實際邏輯,看有無相互限制的條件。 有技術條件的可以本地類比執行一下相關函數。
免責聲明:作為區塊鏈資訊平臺,本站所發佈文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。 文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。
