Cómo identificar las vulnerabilidades de los contratos de Ethereum y evitar "tirar de la manta"

Título original: Cómo identificar los contratos de Ethereum para evitar la "manta"

Sin embargo, la gran mayoría de los estafadores se pueden identificar mediante la inspección de contratos inteligentes con Etherscan. Los siguientes pasos se pueden utilizar para determinar si un contrato es malicioso. Para mostrar la diferencia entre un buen contrato y un mal contrato, este tutorial primero dará un ejemplo de un contrato normal y luego dará un ejemplo de un contrato malicioso.

1. Acceda al navegador Ethereum;

2. Ingrese la dirección del contrato en la barra de búsqueda (compruebe dos veces que tiene la dirección correcta);

2a. Si no conoce la dirección del contrato, puede obtenerla a través de Dextools, CMC o CoinGecko.

2b. Lo que debe recordarse es que la página del token y la página del contrato son diferentes, asegúrese de estar en la página del contrato.

La comunidad de Curve discute cómo asignar tarifas de transacción de activos cruzados de Synthetix: según el enlace publicado anteriormente por el fundador de YFI, Andre Cronje, se cambiaron 9 millones de USDT por 8,953 millones de sUSD en Curve, y luego estos sUSD se usaron para completar la transacción en el Intercambia Synthetix y obtén 6689.94 SETH. Un miembro de la comunidad señaló que se distribuirán $ 26,859 en ingresos por tarifas a los participantes de Synthetix (SNX).

Los miembros del equipo de Curve solicitaron opiniones de la comunidad. El intercambio de activos cruzados de Curve utiliza Synthetix como puente. Synthetix devuelve una pequeña parte de las tarifas de transacción a Curve. ¿Cómo asignar estas tarifas? Se enumeran cuatro opciones: titulares de veCRV, LP, ambos y ninguno. [2021/1/21 16:41:10]

Aquí hay una página de token de ejemplo:

Live｜Higer: ¿Cómo pueden DeFi y ETH2.0 liderar la próxima era de blockchain? :Jindian Finance · ¿Está volando 2020 DeFi Dai? "¡Empieza inmediatamente! En el ecosistema DeFi, ¿qué otros proyectos debemos atacar? ¿Cuánto espacio para crecer? ¿Qué riesgos le deben preocupar? ¡La transmisión comienza puntualmente a las 16:00! El invitado de esta sesión es Higer, el fundador del Blockchain Institute, que comparte "Cómo DeFi y ETH2.0 liderarán la próxima era de blockchain". Escanee el código QR para escuchar. [2020/7/31]

Aquí hay un ejemplo de una página de contrato (opciones de contrato resaltadas):

Fu Taihao: JUST toma la iniciativa de pensar en cómo establecer un sistema DeFi completo en TRON: según las últimas noticias, la conferencia global en línea de Tron Great Voyage 4.0 está en marcha. Fu Taihao, líder del proyecto de JUST, dijo en la conferencia de prensa: "JUST tiene como objetivo crear una plataforma estable de préstamos en moneda basada en TRON. Un buen producto financiero no se puede separar de la entrada y salida estables de la capa de aplicación a continuación. Habrá un conjunto cruzado de múltiples protocolos y aplicaciones. En A largo plazo, JST Como símbolo de todo el sistema de gobernanza, proporcionaremos una variedad de acuerdos de préstamo subyacentes y acuerdos de cotización para brindar a los usuarios servicios financieros integrales. Como proyecto estrella de DeFi, JUST no solo está comprometido con el desarrollo del estable mercado de divisas de TRON, pero también piensa activamente en cómo establecer un sistema DeFi completo en TRON". [2020/7/7]

3. Haga clic en el botón "Contratar" resaltado en amarillo arriba;

Beiming, fundador de Beiming Community: la tendencia de los precios de los activos digitales no se puede predecir de antemano, y el núcleo radica en cómo manejarla: a las 19:00 del 19 de junio, MXC Matcha invitó al analista y fundador de Beiming Community Beiming visitó MXC Comunidad Matcha para compartir. Bei Ming dijo: "El comercio es la realización de la cognición, y la obtención de ingresos a través de transacciones de activos digitales es inseparable del análisis técnico. El sistema de la teoría del enredo del promedio móvil ayuda a mantenerse alejado de la ciega a largo y corto plazo. La palabra "centro" proviene de "Enredo". En la Lección 108, Zen Master, el autor de "Tang Lun", utiliza métodos matemáticos como la inducción y la deducción para definir y clasificar cualquier tendencia de forma unificada, y da una solución más razonable. La parte más poderosa de "Tangle Lun " es "clasificación completa", la mayoría de las tendencias no se pueden predecir de antemano, y el núcleo es lidiar con ellas. El acosador se refiere al rango de precios superpuestos y al área de guerra posicional entre compradores y vendedores; La fuerza de el párrafo Los grandes, quédenselos, y los pequeños, lárguense.” [2020/6/19]

4. Elija leer el contrato como se muestra a continuación:

5. Ahora se pueden leer los parámetros del contrato, deberían verse así:

Aquí es donde se complica, ya que hay una cantidad infinita de parámetros potenciales que se pueden incluir en el contrato inteligente de un token. En el ejemplo anterior, solo hay 8 parámetros, que es el sello distintivo de un contrato normal. Porque el token requiere todos estos 8 parámetros y no provocarán un "bombeo general".

tirar de la alfombra, es decir, "bombear una manta"

Lo mismo ocurre con los contratos de otros tokens, y se pueden usar exactamente los mismos pasos para leer el contrato. Hay algunas señales de alerta comunes en los contratos de fraude malicioso, que se describen a continuación. Ahora que sabemos cómo acceder y ver los parámetros del contrato inteligente, podemos identificar código potencialmente malicioso.

1. Función de acuñación (Mint): esta función permite acuñar más tokens, lo que aumenta la oferta y puede permitir a los acuñadores vender estos tokens en el mercado. Este es el escenario más común que hace que el precio del token asociado se desplome. Descargo de responsabilidad: algunos tokens tienen una funcionalidad de menta debido a la dependencia del suministro elástico. Pero a menos que haya una razón para la acuñación, o existan las reglas pertinentes, no debería haber funcionalidad de menta. Es importante verificar quién es el propietario de la funcionalidad mint: si el propietario es un desarrollador, esto es claramente una señal de alerta; si minter es un contrato inteligente basado en volumen/precio, está descentralizado, no es muy probable que ser una estafa

4. No son parámetros específicos, pero cuantos más parámetros tiene un token, más parámetros son atacados. A menos que el proyecto del token requiera estos parámetros, no debe agregarse casualmente al código.

1. La cantidad total de "demasiado para medir", o en otras palabras, una dirección posee la mayoría de los tokens. Es común ver que la dirección donde se implementa el contrato (es decir, la dirección del desarrollador) contiene la mayoría de los tokens, lo que es una posible señal de alerta.

2. El volumen de tokens (liquidez) del grupo Uni-v2 es significativamente menor que el volumen de tokens del tenedor individual más grande. Tenga en cuenta que la participación no se incluye aquí, porque la dirección de participación es la cantidad acumulada transferida desde muchas direcciones. Es una señal de la distribución desigual de las "ballenas", que es cada vez más probable que dañen los ecosistemas.

Nota: La diferencia entre una dirección normal y una dirección de contrato es el símbolo al lado de la dirección. Un símbolo resaltado en amarillo indica que la dirección es un contrato. Si este símbolo está ausente, entonces la dirección es una dirección personal. Si aparece una gran cantidad de tokens en el contrato, es muy importante comprender su propósito (como para el staking, el desbloqueo lineal o el bloqueo de tokens de equipo, etc.)

3. Los equipos anónimos pueden ser una señal de alerta, pero el anonimato debe tratarse de manera racional. Si el producto es sólido, existen medidas de seguridad y los desarrolladores son transparentes sobre su código y las respuestas a las preguntas, entonces el anonimato no debería ser negativo. Pero si el anonimato y otras señales de alerta se juntan, significa que los riesgos son significativamente mayores.

En general, en comparación con otras inversiones, el riesgo de los contratos Defi en Ethereum es definitivamente alto. Sin embargo, comprender los conceptos básicos de cómo funciona un contrato y ser capaz de reconocer las señales de alerta de una posible estafa puede ayudar a los usuarios a reducir este riesgo. Interactuar en la cadena de bloques siempre es arriesgado, pero invertir en contratos sin código malicioso puede prevenir significativamente más pérdidas y puede ayudar a sus ganancias a largo plazo.

Fuente original: Gem Hunters

Tags：

Binance Apps