okx

DefiUniswap漏洞教程揭示新骗局

时间:2023-07-03|浏览:205

欧易

欧易(OKX)

用戶喜愛的交易所

币安

币安(Binance)

已有账号登陆后会弹出下载

昨晚在群里看到一条消息,内容是关于一个中英文介绍的事情。这到底是什么呢?网络上有很多定义,目前通用的定义是这样的:DeFi是Decentralized Finance(去中心化金融)的缩写,也被称为Open Finance。其实质是用来构建开放金融系统的去中心化协议,旨在让任何人随时随地进行金融活动。

在传统金融系统中,金融服务由中央系统控制和调节,无论是基本的存取转账还是贷款或衍生品交易。而DeFi希望通过分布式开源协议建立一个透明、可访问和包容的点对点金融系统,最大程度地减少信任风险,使参与者能够更轻松地获得融资。

几年前,DeFi概念还不存在,但现在已成为区块链行业的热门话题,在短短的时间内引起了广泛关注。它为ETH和ERC20代币之间的自动兑换提供了良好支持。

作者以当下区块链行业热门话题为主题,介绍了如何利用这个事情来割韭菜。很明显,他经过精心思考。

打开教程链接后,作者特别提醒不要使用这种方法进行作弊,因为完全开放源码仅用于研究和测试。教程中提到合约代码可以在链接下载。

根据教程提供的链接,下载代码后可以看到函数和条件判断中的address是硬编码的。在以太坊中,地址长度为20字节,每字节为8位,总共160位。因此,可以用uint160声明地址。以太坊钱包地址以16进制形式表示,一个16进制数字占4位,所以钱包地址ca35b7d915458ef540ade6068dfe2f44e8fa733c长度为40。

攻击者特意使用uint160来编码地址,起到了迷惑作用。如果不仔细观察,可能不会注意到函数中转换后的地址。

通过对地址进行转换可以得知,函数中的地址为合约实际控制账户的地址。

接下来,原文教程介绍了部署合约和添加到资金池的步骤。UniswapV1是一个基于以太坊区块链的去中心化代币兑换服务。它提供ETH和ERC20代币兑换的流动性池,具有去中心化、无需许可和不可停止等特点。

UniswapV1是一种无需订单薄即可交易的去中心化交易所。它不需要用户挂单、不需要需求重叠,可以随时买卖。通过ERC20代币的特性,它也不需要用户将资产存入特定账户。UniswapV1的定价模型非常简洁,核心思想是一个公式x*y=k,其中x和y代表两种资产的数量,k是两种资产数量的乘积。

用户可以部署合约并将其添加到Uniswap的资金池中,提供流动性并获得交易手续费分红。这个过程完全去中心化,不需要审核上币。

合约代码中的关键部分是函数,只有具有合约权限的地址可以进行修改。攻击者可以随时转移合约的权限。

教程中还提到,如果想吸引买家,资金池必须足够大。如果只投入1-2个ETH,其他人将无法购买,因为基金池太小。因此,攻击者希望部署合约的用户在资金池中添加更多ETH。

通过合约代码可以看到,函数中的修改需要合约权限。合约的权限控制在攻击者手中。攻击者可以随时转移合约的权限。

截至目前,攻击者地址已获利约xxx。

总结来说,DeFi的模型创新得到了赞誉,但也因投机者和诈骗者的加入而遭到批评。在业内人士看来,DeFi的自动做市商机制有着特别的价值,但也存在恶意和贪婪。流动性挖矿点燃了DeFi的热火,Uniswap作为去中心化交易所获得了极大的关注。它支持一键兑币和做市分红,成为最炙手可热的DeFi应用之一。

这个事情很容易吸引人们的注意,攻击者利用人们对便宜的贪婪心理。使用所谓的教程一步一步引导用户掉进

« 上一条| 下一条 »
区块链交流群
数藏交流群
区块链币圈-全球区块链数字货币行情、比特币虚拟货币资讯,狗狗币以太坊环保币柚子币莱特币瑞波币等加密数字货币价格非交易行情查询,金色财经巴比特范非小号快讯平台。
趣开心资讯 Qukaixin.cn ©2020-2024版权所有 桂ICP备19010284号-1