Sushiswap“打錯幣”事件：我想省下Gas費 卻丟了40萬美元_SUSHI

DeFi流動性挖礦爆紅，之前踏空老韭菜也按捺不住，紛紛下場。

但你永遠不知道，意外和暴富，哪一個會先來。

DeFi協議SushiSwap剛運行3天，鎖定資產總價值就已超過7億美元。SushiSwap的邏輯很像Uniswap，也是為提供流動性的用戶提供獎勵，但玩法有一點不同。Uniswap的邏輯是僅在LP提供流動性的時候，才能獲得0.3%的手續費獎勵，一旦Uniswap的LP停止提供流動性，獎勵也隨之停止。為了鼓勵大家使用SUSHI，項目方將SUSHI/ETH這個池子設計為2倍獎勵，據此計算，年化暫時高達9500%。

但是幣生幣之前也需要用戶的操作，老“韭菜”玩DeFi一不小心就踩了坑。

慢霧首席信息安全官：Pegasus組織正在使用零點擊漏洞:金色財經報道，慢霧首席信息安全官23pds在社交媒體X（原推特）上稱，虛擬貨幣行業從業者請立即更新您的apple產品。Pegasus組織正在使用零點擊漏洞：攻擊者使用iMessage帳戶發送給受害者惡意圖像的PassKit附件來觸發攻擊。目前利用鏈已經公開，受害者在無需點擊交互的情況下最新的iOS系統即可被感染。目前漏洞已經被利用，蘋果已經緊急發布更新補丁。[2023/9/8 13:26:14]

SushiSwap運行流動性挖礦的第二天，就出現了用戶錯誤轉幣的情況。

8月30日，SushiSwap項目官方人員@ChefNomi發布推特，稱有用戶向其Token智能合約地址轉賬40萬USDT。并且，SushiSwap團隊表示，轉入該智能合約的代幣將無法提取。????

美國海軍和Consensus網絡采用IoTeX區塊鏈技術為70萬海軍提供健康監測:據官方消息，美國海軍和Consensus網絡將使用基于IoTeX區塊鏈和IoTeX開發的可信硬件“Pebble原石”追蹤器開發醫療供應鏈系統HealthNet，實時監控 70 萬多名水手和海軍陸戰隊的健康狀況。

Consensus Networks 是 IoTeX的生態合作伙伴，自2020年起致力于構建醫療供應鏈系統HealthNet，今年5月獲得海軍150萬美金資助開發，將于 2022 年初為美國海軍啟動實施第一個IoTeX用例試點。CEO Nate Miller在采訪表示，IoTeX的基礎設施和可信硬件符合海軍對安全性和隱私性的需求，HealthNet將被推廣到更多的政府組織以及其他機構。

IoTeX作為硅谷開源項目成立于2017年，以鏈接現實世界和數字世界為發展目標，是與以太坊全兼容的高性能公有區塊鏈。[2021/11/23 22:11:00]

Odaily查詢發現，上述40萬USDT是分兩筆從Gate交易所轉出，時間僅相差一小時。????

Cryptopunks市值達到41億美元，超過COMP和SUSHI之和:9月4日消息，根據Nansen數據，如果把CryptoPunks的平均價格乘以NFT數量作為Cryptopunks的市值，那么其市值已經超過41億美元，超過COMP和SUSHI的市值之和。[2021/9/4 23:00:42]

苦主是Gate交易所實習打幣員嗎？不，是Gate的用戶。

8月30日當天，Gate官方第一時間回應稱：此舉為用戶個人操作轉錯。

這個用戶是誰？幣乎用戶@冰棒爆料稱，是幣圈自媒體「王團長區塊鏈」創始人王團長。

根據@冰棒曬出的截圖，王團長在社交媒體上四處求助，試圖聯系Gate或SushiSwap官方人員，讓官方回滾交易或者直接提取誤轉的代幣。???

FUSION基金會作為Consensus大會贊助商亮相“區塊鏈周”:2018年5月14日，世界金融中心紐約進入“區塊鏈周”。14日至16日，一年一度的Consensus大會在曼哈頓舉行。大會贊助機構之一FUSION基金會，向來自全球對加密資產高度關注的眾多參會人士介紹了FUSION加密金融理念與加密金融基礎設施架構規劃。17日上午，FUSION基金會專家顧問團FFI（FUSION FOUNDATION INTELLIGENCE）首次召開工作會議。據息，包括高盛、納斯達克、摩根士丹利、Alpview資本、巴克萊銀行、埃森哲、Eastmore 集團等機構的專家，以及來自麻省理工大學（MIT）的學者，均受此次大會的吸引，出席了會議。[2018/5/18]

但SushiSwap官方已經表明態度：回滾是不可能回滾的，這輩子是不可能回滾的，除非Tether耍賴自己回滾。

????

為什么官方不能直接提幣還給用戶？

慢霧安全團隊告訴Odaily星球日報，在分析了SushiSwap代幣合約后發現，該智能合約沒有預留代幣取出接口，用戶誤轉入的代幣，相當于轉到了零地址，永久被鎖死在區塊鏈世界中。

“如果項目方保留最高提取權，其實是可以提幣的。但為了去中心化，很多項目取消了最高控制權。因此，也就無法提幣。”BlockArk?聯合創始人墨客告訴Odaily星球日報。

如果SushiSwap官方真地提取出了代幣還給用戶，相當于直接昭告天下，該智能合約存在后門，項目方可以為所欲為，對于項目而言將是毀滅性的打擊。畢竟，在區塊鏈的世界，Codeislaw。

因此，SushiSwap官方也在最開始表明態度：深表遺憾，無能為力。

實際上，除了上述的40萬USDT，該還收到了其他用戶失誤轉賬。

Odaily星球日報查詢發現，從該項目運行以來，代幣智能合約累計收到8筆轉賬，累計收到40萬USDT、18086個AMPL、1100個SUSHI。

值得注意的是，AMPL的發送方同樣是Gate，另外王團長在公眾號中表示重倉了20萬元的AMPL。因此，這筆錢的苦主大概率也是其本人。

相信讀到這里，大多數人都有一個困惑：既然代幣智能合約不能提幣，為什么這么多鐵憨憨會往其中打幣？

慢霧安全團隊揭示了其中的奧秘：為了省下Gas費。

參與流動性挖礦的標準操作是：

從交易所提幣到用戶自己錢包地址；

打開流動性挖礦項目網站，點擊相應挖礦池，調出智能合約；

從網頁錢包授權，向項目的智能合約轉賬。

上述過程的第一步和第三部都要用到鏈上轉賬，也就需要用戶支付Gas費用。于是，一些「聰明人」想著，直接省略第一步，從交易所直接向項目智能合約打幣，這也就有了文章開頭的一幕。

為什么不能從交易所直接轉賬呢？

慢霧安全團隊表示，正常操作流程是使用個人錢包在官方網站進行操作，官方會有一個上層路由合約去執行用戶需要的具體操作(兌換、提供流動性等)；但如果直接打幣進入智能合約，則不會觸發相應操作。“因此建議用戶，在不熟悉具體操作流程的情況下，盡量使用官方的網站進行操作，避免失誤造成資產損失。”

最后，Odaily星球日報也想提醒各位有志于成為「農民」的朋友：

參與挖礦時候，首選經過代碼安全審計的項目，國內比較有代表性的相關安全團隊有：慢霧、派盾、成都鏈安等；

一定要清楚挖礦的流程，懂得公鑰、私鑰等關鍵概念，能夠熟練使用網頁錢包轉賬；

挖礦時，不要為了省Gas費，從交易所直接轉賬進入項目，否則資產將會被鎖定且無法取回；

最后，一些挖礦項目會在代碼中添加錢包私鑰授權，直接掌握用戶熱錢包。因此，重要資產不要放在網頁錢包中。

作者|秦曉峰

編輯|Mandy

出品|Odaily星球日報

Tags：USHIUSHSUSHISHI3X Long Sushi TokenPUSH價格sushi幣論壇SHIBAL幣

Uniswap