Análisis de contrato de Popcornswap + le enseñará cómo evitar la mayoría de los riesgos de minería del suelo

Recientemente, me sorprendió escuchar que 2 minas de suelo en BSC se han escapado nuevamente. La cantidad es de decenas de millones. Un amigo mío también ha sido reclutado.

En términos generales, hay varios pasos para retirar fondos de las minas terrestres:

Atrae a tu semental impulsivo a través de un APY alto (ten en cuenta que muchas minas de tierra de los ladrones de pollos están escritas en APR, que se ve más alto, y puedes cerrarlas directamente si usas las minas de tierra de APR para buscar estabilidad). Después de todo, un APY alto está respaldado por oro y plata reales Un hogar de tan alto rango llegó temprano, como dice el refrán, cuanto mayor sea el ingreso, mayor será el riesgo

Hacer que se sienta de bajo riesgo con algunas medidas de seguridad "llamadas" (bloqueo de tiempo, etc.)

Inmediatamente después de robar fondos, cámbielos por tokens que no sean erc o tokens que no se puedan congelar, y luego espere la oportunidad de escapar

Después de ver este paso, debes entender, si puedes:

No toque las minas de suelo que no son de código abierto, no importa cuán atractivo esté escrito su APY

Si desea participar en una mina de suelo de código abierto, debe participar con una pequeña cantidad de fondos después de verificar los parámetros variables en el contrato diferencial. (Sin embargo, puede haber riesgos, como el intercambio de palomitas de maíz, que se explicarán en detalle)

Entonces creo que puede evitar la mayoría de los riesgos Hablemos brevemente sobre cómo diferenciar contratos, cómo verificar parámetros y algunos pensamientos derivados. (Xiaobai Xiang)

Dunamu y Hybe lanzan la primera plataforma de coleccionables digitales de K-pop: Jinse Finance informó que Dunamu, la empresa matriz del intercambio de criptomonedas de Corea del Sur Upbit, se asoció con Hybe, la agencia del grupo de música de Corea del Sur BTS, para lanzar un coleccionable digital de K-pop en Plataforma de martes. Llamada MOMENTICA, la plataforma tiene como objetivo facilitar aún más la participación de los artistas fanáticos a través de la tecnología blockchain sostenible, y se lanzará oficialmente a mediados de octubre. Su colección digital, llamada TAKE, captura momentos únicos de artistas de K-pop para que los fanáticos los recopilen en forma de imágenes y videos. (Forkast) [2022/10/4 18:39:16]

Paso 1: diferencias

Este es un ejemplo de una herramienta de comparación en línea https://www.diffchecker.com/ 

Tenga en cuenta que el contrato diferencial debe ser la dirección del contrato a la que realmente desea transferir monedas (puede transferir una cantidad muy pequeña para obtener la dirección)

Primero obtenga el código MasterChef original (aquí tomamos pancakeswap como ejemplo):

https://bscscan.com/address/0x73feaa1ee314f8c655e354234017be2193c9e24e#código

El mercado de comercio NFT de GameDAO, POPNFT, ha iniciado sesión en Coinhub: según las noticias oficiales, el nuevo mercado de comercio NFT de GameDAO, POPNFT, ha iniciado sesión oficialmente en Coinhub. POPNFT ahora apoya múltiples proyectos NFT en la cadena ecológica HECO.

Coinhub es una plataforma segura y conveniente de servicio de gestión de activos digitales de cadena de bloques que integra funciones como billeteras, datos, gestión de riqueza, minería y transacciones, es compatible con todas las cadenas públicas y sus aplicaciones ecológicas en la cadena y muestra completamente los activos de los usuarios a través del análisis de contratos. Analice y recomiende de manera inteligente aplicaciones de alta calidad, y realice una gestión financiera conveniente, minería con un solo clic y transacciones óptimas a través de la agregación de herramientas DeFi. Permita que los usuarios comprendan completamente los datos actuales y operen y administren convenientemente los activos en el nuevo ecosistema DeFi, reduzcan los riesgos de los usuarios y obtengan la apreciación de los activos. [2021/6/15 23:37:36]

Entonces aquí hay un ejemplo de popcornswap:

https://bscscan.com/address/0x584527ded17aceb3dc617c40b04e8fe9afc57096#código

Copie el código en ambos lados por separado y comience a diferenciar

Jason Pope, cofundador de SERO: NFT fuera del círculo puede promover modelos de productos básicos diversificados para ingresar al mercado de criptomonedas: informe en vivo de Jinse Finance, 10 de abril, sesión especial "DeFi Innovation Advanced" de la Conferencia de Innovación Co-Wei organizada por Jinse Finance se llevó a cabo en Shanghai En la reunión, Jason Pope, cofundador de SERO y miembro de la junta directiva de la fundación, compartió que en el mercado de criptomonedas, los atributos del token en sí o el modelo económico del token son relativamente simple, y su espacio de aplicación también es limitado.Después de que NFT está fuera del círculo, puede ver Muchos modelos de productos básicos diversificados se han introducido en el mercado de criptomonedas para aplicaciones de fusión. [2021/4/10 20:05:52]

Aquí guardé los resultados de diferencia, puede hacer clic directamente en este enlace: https://www.diffchecker.com/VqaCP3DK

Se pueden ignorar modificaciones como cadenas (nombres, etc.) en el resultado o el contenido después de // (comentarios).

Como se muestra arriba, puede ignorar

Bithumb suspende el lanzamiento de PopChain Se sospecha que los dos están relacionados: esta tarde, Bithumb emitió un anuncio para retrasar el lanzamiento de PopChain, dando la razón de que "hay muchos hechos no probados y falsos que se están extendiendo al mercado". Según el medio extranjero CCN, puede haber cierta relación entre Popchain y Bithumb. Los tres principales contribuyentes al código fuente de Popchain son Kwuaint Li, Lialvin y Su Mingrui, quienes también son los tres principales desarrolladores de Bithumb Cash. En abril, Bithumb dijo que podría reconsiderar sus planes de ICO y ahora, todo el proyecto está en espera. Los inversores dicen que Bithumb está suspendiendo sus planes de ICO para promover Popchain. Cuando se lanzó Popchain por primera vez, el equipo de Bithumb declaró que usaría Popcorn TV y Celeb TV de The E&M para convertir Popchain en una exitosa plataforma de servicios de contenido basada en blockchain. Los inversores invirtieron en Popchain debido a la gran audiencia de estas dos plataformas. Mientras tanto, el 91% del suministro de Popchain se almacena en dos billeteras, y los inversores han expresado su preocupación por un posible esquema Ponzi. [2018/5/16]

Si es el código agregado por la versión original, generalmente no es importante que el perro del suelo lo elimine, el punto clave es que el código del perro del suelo es diferente de la versión original:

PopChain se incluirá en Bithumb mañana: solo hay 20 poseedores de tokens de PopChain, de los cuales la persona con la primera tasa de retención posee el 76 %, y la persona con la segunda tasa de retención posee el 15 %, el 90 % de los tokens. Sin embargo, PopChain no se ha incluido en otros intercambios hasta el momento, lo que genera una atmósfera delicada en la industria, y Bithumb ha perdido la confianza de algunas personas. PopChain es una cadena pública de código abierto impulsada por la tecnología blockchain. [2018/5/16]

La imagen de arriba muestra la diferencia clave: Tugou modificó el método de migración original y agregó una función llamada preUpgrade.

Al ver esto, si no sabe nada sobre el contrato, puede cerrar la página directamente para mantenerse seguro durante el período de seguridad.

Aquí hay un breve análisis de las diferencias. Primero, el método de migración. Este es el código heredado de sushiswap. El código original tiene la posibilidad de vaciar el dinero en el grupo (así que si Tugou tiene el método de migración, no lo juegues). para la estabilidad).

Aquí en palomitas de maíz, el nuevo método de actualización previa es público, lo que significa que todos pueden llamarlo.

Paso dos: Comprobar variables

Haga clic en este botón del contrato Tugou:

Compruebe el migrador, el propietario y otras variables: (el propietario es el núcleo)

Se puede ver que el migrador es 0, y el propietario es una dirección de bloqueo de tiempo.Uno de los trucos de Tugou es afirmar que tiene un bloqueo de tiempo y dar la dirección del contrato, pero el propietario no es la dirección del bloqueo de tiempo, que obviamente es una estafa.

Por supuesto, el contrato de bloqueo de tiempo también puede realizar pequeñas acciones, por lo que también necesita realizar operaciones diferenciales. No hay ningún problema con su bloqueo de tiempo aquí, por lo que no entraré en detalles.

Después de completar los dos pasos anteriores, muchos mineros senior pueden sentir que hay un bloqueo de tiempo, y las variables del contrato no son un problema.Aunque hay riesgos en el código, pero hay un bloqueo de tiempo, está bien, apresurarse a tmd, por bajo perros locales de nivel, de hecho puede ser inútil. Es arriesgado, pero desafortunadamente, popcornswap es un perro un poco avanzado. Mírame desglosar el proceso de robo a continuación:

La parte del proyecto llama:

https://bscscan.com/tx/0x38f75296e3343228c0309f8c99a24ca4f4812372f2b032f38ce25ac5a992b768

El método preUpgrade permite que su dirección tenga el permiso transferFrom del token en el contrato (la comprensión simple significa que debe permitir que el contrato gaste sus monedas antes de la transacción uniswap, aquí se permite gastar las monedas en el contrato)

Mirando el código anterior, puede encontrar que preUpgrade tiene esta función, pero solo le otorga este permiso al migrador, y el migrador es 0. La modificación del migrador requiere un bloqueo de tiempo, entonces, ¿cómo lo hace? (Esta pregunta en realidad me molestó por un tiempo)

La respuesta es: después de implementar el contrato y antes de agregar el bloqueo de tiempo, la parte del proyecto cambió el migrador a su propia dirección y obtuvo la asignación de todos los tokens a través de la actualización previa por adelantado, y luego volvió a cambiar al migrador para agregar un bloqueo de tiempo

Debido a que estos tx se mezclan con los tx agregados al grupo por parte del proyecto, es imposible para la gente común verificar cada tx antes de un grupo, por lo que popcornswap pudo robar 2mil tokens en 2 horas.

Este modus operandi también me ha despertado la reflexión, actualmente no existe una herramienta efectiva que pueda detectar el token permitido a otras direcciones en una dirección de contrato, por lo que es muy difícil encontrar el problema. Los usuarios comunes no tienen la habilidad y es poco probable que descubran esta pista. Incluso yo creo que en este incidente, algunos viejos conductores de minería de tierra que entienden el código del contrato también se volcaron.

Entonces, ¿dónde está el análisis de popcornswap? Los siguientes son algunos de mis pensamientos personales y bienes privados (los amigos que no quieran leer pueden cerrar el artículo)

Después de la exposición del modus operandi, se cree que es probable que futuras minas terrestres usen métodos similares para robar monedas, pero para los usuarios comunes, es difícil protegerse. De hecho, ha habido 2 minas volcadas en bsc en el últimos 2 días, y la cantidad no es alta.

Como cadena pública de intercambio, ya sea bsc o heco, ¿cuál es su competitividad central? ¿Está descentralizado?

Yo personalmente no lo creo.

bsc, heco, etc., su mayor ventaja debería ser 1. Tarifa de manejo baja 2. Respaldo de la credibilidad del intercambio

Tomando bsc como ejemplo, como una cadena pública de diseño similar a DPos, el puente de cadena cruzada no está descentralizado y la mayoría de los activos anteriores son emitidos por Binance, incluso si el código es de código abierto, ¿cómo se puede descentralizar?

Personalmente, creo que, en cambio, deberíamos hacer lo contrario, introducir un mecanismo de arbitraje similar a EOS y garantizar la seguridad de la propiedad de los usuarios en la cadena en la mayor medida posible es la forma de sobrevivir.

En este incidente de intercambio de palomitas de maíz y la última mina de suelo volcada, Binance todavía está en la etapa de patear la pelota, pidiendo a los usuarios que informen el caso o diciendo que estamos monitoreando las direcciones de los piratas informáticos, etc., en lugar de tratar de ayudar a los usuarios a recuperar sus pérdidas. A la larga, cuando la mina del suelo se escape En cada vez más casos, me gustaría preguntarle a Binance, ¿quién usará BSC?

Si ocurren incidentes similares en la cadena pública de Heco u otros intercambios, y tienen un mecanismo de seguridad similar para garantizar la seguridad de los activos de los usuarios, la mayoría de los inversores minoristas se atreverán a continuar usándolo con confianza. cadena respaldada por la Cadena de intercambio, la ventaja no es ni puede ser descentralizada.

Espero que todos los equipos técnicos de la cadena pública de intercambio lo piensen dos veces, y puede que no sea demasiado tarde para diferenciarse de la competencia a través de actualizaciones de código para garantizar la seguridad de sus cadenas públicas.

Título original: Popcornswap contract analysis + te enseña cómo evitar la mayoría de los riesgos de minería del suelo

Autor: iNexusPro

Tags：

NEAR