DeFi安全篇：合約留后門，無腦授權有風險｜烤仔星選_UNI

很多用戶在參與DeFi流動性挖礦的過程中，需要授權合約，但大家可能有所不知，如果你不小心授權了某些不靠譜的合約，錢包里的幣就危險了。

之前就有人在Twitter上討論過授權合約被釣魚的案例，因不小心授權某些開了后門的合約，有人一夜之間被盜走價值14萬美金的UNI。這個故事的主人公名叫JhonDoe，去年九月，他參與了Unicats收益農場，當時他對這個項目還蠻看好的，覺得它可能會成為下一個YFI。

接下來，Jhon打算質押UNI，然后收到了MetaMask錢包的提示，“需要授權合約無限使用UNI”。授權是在DeFi挖礦中是很常見的一個操作，所以他就沒細看。

DeFiLlama：已將“雙重計數”的切換默認設置為關閉:金色財經消息，DeFi數據提供商DeFiLlama表示，鑒于有關Saber的最新消息，我們已將“雙重計數”的切換默認設置為關閉，這消除了協議之間的重復計算。

此前消息，一開發者偽造11個假身份，Solana TVL疑似造假超70%。數十億美元資金在Solana的DeFi生態（至少包括Sunny和Saber）內TVL被重復計算多次。[2022/8/6 12:06:03]

質押UNI之后，挖出來一些MEOW，他覺得賺的差不多了，可以收菜收工了，就把資金都撤回了自己的錢包。撤走資金以后，Jhon以為錢都放在自己錢包里就可以高枕無憂了。殊不知，這個合約留了后門，一旦他授權了這個合約使用自己的token，即使他從挖礦池子中撤走資金，這個合約任何時候都能調用他的token。第二天醒來以后，Jhon發現自己一半的UNI都在未通過自己授權和簽署交易的情況下被轉走了。Jhon一下子就懵了，他錢包的私鑰從沒有泄露過，錢包也沒有漏洞，自己并沒有操作過轉賬，錢好好放在錢包里還能被轉走？排除了種種因素，推測出最有可能導致丟幣的原因是：以太坊網絡上最流行的token使用的ERC20標準設計中的一個已知但經常被忽略的漏洞。這個UniCats是個什么項目？為什么就能輕輕松松盜走別人錢包里的幣？這讓以后我們DeFi挖礦還敢挖嗎？“小貓釣魚”

數據：Terra鏈上DeFi鎖倉量為283.8億美元:金色財經消息，據DefiLlama數據顯示，當前Terra鏈上DeFi鎖倉量為283.8億美元，近24小時減少3.88%。在公鏈中排名第2位僅次于以太坊。目前，Terra鏈上DeFi鎖倉量排名前3的分別為：Anchor（162.4億美元）、Lido（69.2億美元）、Astroport（16.1億美元）。[2022/5/1 2:42:59]

UniCats是一個類似Yam和Sushiswap的DeFi衍生品項目，抄襲抄的赤裸裸的，連前端界面都和Sushiswap完全一樣，除了可以挖平臺代幣MEOW之外，還可以挖UNI等其它代幣，在2池中還可以質押UNIOW和UNI的LP代獲得MEOW代幣。為什么這個項目會選擇UNI呢，因為當時Uniswap發幣，很多Uniswap的老用戶都免費領到了一堆UNI空投，大家不用專門買UNI，會有比較低的參與門檻。JhonDoe是參加這個協議的用戶之一，當時DeFi的fomo情緒很濃，很多人都說“審計是為新手準備的”，所以進了這個坑也很難怪他。JHON先后在UniCats合約中質押了兩筆UNI，價值分別為$17K、$15K，質押的操作要求他準許UniCat合約對錢包里UNI代幣的無限制訪問。可能是因為Jhon看到大家都這么做，每個人都要一開始點擊授權合約，所以沒有對此有任何疑慮。一開始還挺好的，收成不錯，賺了一些MEOW。耕種一天之后，Jhon開始從Unicats合約中解押自己的UNI。鏈上記錄：https://etherscan.io/tx/0xaf90d9ff2e9dc63ef6c6082a18214f991cc52493b0cc5c47d84590faac798f42https://etherscan.io/tx/0x751ae0fba597496f057426672fb736efdc837aa0860f1d626b4e7dd6e9052c80收獲頗豐，又入袋為安，是一次很成功的經歷，他就放心地睡覺去了。之后的事情，我們在上文也提到了。之后項目方表示：“出了bug”、“被黑客入侵”、“項目方非常努力”...換句話說就是，他們希望這個項目有成功的未來，現在正在“把這個美好的項目留給社區”，然后就卷款刪號跑路了。除了Jhon還有一些用戶也被坑了，甚至有的人還沒來得及撤出資金。

Terra鏈上DeFi鎖倉量為277億美元:金色財經報道，據DefiLlama數據顯示，當前Terra鏈上DeFi鎖倉量為277.7億美元，近24小時增漲0.1%。在公鏈中排名第2位僅次于以太坊。目前，Terra鏈上DeFi鎖倉量排名前5的分別為：Anchor（150.3億美元）、Lido（70.6億美元）、Astroport（10.2億美元）、Stader（7.6億美元）、Terraswap（7.5億美元）。[2022/3/14 13:54:44]

開發人員跑路前在Tg群發的消息貪婪的“貓”

UniCats合約的有一個功能：setGovernance，有人讀的未經審核合同可能掠過這部分，因為它是相當流行的有智能的管理重點和管理地址合同。

setGovernance是開發者Whiskers用來直接從用戶帳戶中提取資金的功能。函數接收兩個參數：一個地址、一些數據，需要將_governance設置為UNItoken地址，并為數據傳遞函數transferFrom，然后會觸發UNI合約，要求它代表用戶將資金轉移到UniCats合約。實際上，transferFrom的調用者是UniCats合約，像剛才我們提到的Jhon，他已經批準合約隨意使用自己所有的UNI資產，合約會將Jhon的UNI資產轉移到合約中相同的trasnferFrom，然后從他的錢包中盜取資金。當UNI合約收到此項調用時，會嘗試這項請求不會遇到任何錯誤。所有的轉賬都會通過，因為Jhon確實授權了合約來處理他的資金。資金從Jhon的帳戶中轉到UniCats合約中，然后再轉給Whisker。所以關鍵點就在于Jhon對UniCats合約的授權。除了Jhon之外，這個詐騙合約也有其他一些受害者，比如另一位用戶也是通過完全相同的過程損失了1萬個的UNI，他質押在UniCats中的資金全被刪除了，根本無法提現。

DeFi 保險協議Solace將發布“動態風險評級總錢包覆蓋率”產品:2月15日消息，DeFi 保險協議 Solace 今日宣布將于2月16日發布具有動態風險評級的總錢包覆蓋率。據了解，Solace 此次推出的“旗艦產品”為業內首創，用戶可以為整個投資組合和單一保單提供資金，并且只根據錢包中的內容進行支付。

Solace 是一個去中心化的保險協議，允許 DeFi 流動性提供者和做市商在智能合約被利用的情況下對沖他們的風險。Solace 設計了一個參數化索賠流程，用戶不必提出索賠來取回他們的資金。借助參數化索賠評估系統 (PACLAS)，用戶可以在一周內發生符合條件的損失事件時收到賠付。[2022/2/15 9:52:03]

有一個信息大家需要知道，即使你地址余額為0，這個無限批準的風險都還在，也就是說UniCats隨時都能把你的錢拿走。只要你沒有撤消批準，或者這個賬戶/地址之后完全廢棄再也不用了，就會隨時會被攻擊。在盜取了用戶的資金之后，UniCats項目方將UNI換成ETH，然后將ETH被轉移到Whiskers控制的帳戶中，接著又以每次100ETH的方式存入TornadoCash。練習釣魚

法國經濟新聞電視臺BFM Business在節目中提到DeFi應用Aave:據推特消息，法國 BFM 經濟新聞電視臺（BFM Business）在一期節目中邀請加密市場策略分析師 Nicolas Cheron 談到加密金融和去中心化金融，該節目還特別提到了 DeFi 應用 Aave。BFM Business在法國是一家全國性的經濟類電視臺，曾開設了法國第一個經濟新聞頻道，旗下的廣播也是全法收聽人數最多的廣播。[2021/1/25 13:25:15]

在UniCats項目方發起攻擊之前，Whiskers還做過一些鏈上的練習，創建了一個單獨的合約和管理員帳戶，以確保黑客攻擊能夠正常工作。在此交易中，Whiskers嘗試使用相同的setGovernance調用，直接從合約中提走少量UNI，從合約中獲取2.75UNI。這個是第一階段，UniCats合同本身的資金被耗盡。后來，該帳戶執行另一種轉賬練習，它濫用了baDAPProve漏洞，由Tornado現金資助的帳戶將少額UNI直接轉換為ETH。這些練習運行了幾個小時之后，才發起了正式的攻擊。正式攻擊的方式和練習的方式基本上是差不多的，都是分兩個階段。練習攻擊的記錄：https://etherscan.io/address/0xcdd37ada79f589c15bd4f8fd2083dc88e34a2af2回顧曾經與Unicats進行過互動但尚未拒絕UniCats使用其令牌的每個帳戶，在它們這樣做之前都仍然很脆弱。即使是那些只批準了令牌但從未實際發送過任何資金的人。在直接抽走UniComp合約的同時，whiskers能夠在Uniswap、SushiSwap和Balancer上獲取17KUNI以及押注LP代幣的UNI/ETH。。在第二階段，使用baDAPProve漏洞，Whiskers總共撈了6萬UNI。這些錢是從大概30個賬戶中取出來的，損失最大的是JhonDoe，總共損失了37KUNI，當時價值約12萬美元。從他們賬戶中拿走的資產比他們原本在協議中質押要多，因為Jhon的UNI并不是全部質押進合約中挖礦了。每一個曾經和Unicats交互過，并且授權UniCats使用自己代幣的賬戶都隨時有被攻擊的風險，哪怕僅僅只是授權過但從沒有轉過資金。你可能會覺得這個故事中的JhonDoe很笨，但其實他在DeFi領域還挺有經驗的，他的地址有超過1600筆交易。這是一場很“完美”的攻擊，需要無限使用的授權，很少有人真正了解其中的含義。在大環境的fomo情緒下，每一個投資者都夢想暴富，渴望自己找到下一個YFI，黑客就是從中利用了這些因素以及這些系統經常試圖隱藏的復雜性達到目的。如何保護自己免受攻擊

我建議，參與DeFi時，只授權可信任的合約，如果是去體驗新項目，用的資金要控制在自己能承受的最大損失之內，以將風險最小化。這次攻擊的根源在于ERC20的工作方式以及它的一些限制，這個限制僅存在于ERC20協議中，其它的協議標準還沒有這個問題，但是由于ERC20仍然是最受歡迎的token標準，所以大家有必要了解一些策略來避坑：首次與未知的DeFi合約交互時，要先做研究。諸如MetaMask這樣的錢包有一個功能是，可以自己設置最大批準的金額。如果你不完全信任一個DeFi合約時，就可以提前進行設置，把風險控制在自己能夠承擔的范圍之內。

如果你已經授權了一些DeFi合約，而且有一些顧慮，不太確定會不會有風險，就可以用工具撤銷授權，我給大家介紹幾個工具：https://approved.zonehttps://revoke.cashhttps://tac.dappstar.io/#/未來DeFi和ERC20都會繼續發展壯大，建議大家好好學習，了解清楚這些復雜的金融系統，保護好自己的錢袋子，注意安全！Reference：zengo.com

Tags：UNIDEFIDEFEFIAUNIdefi幣多少錢一個DeFi KingdomDOGDEFI價格

火必APP