Функция смарт-контракта проста: хранить активы на условном депонировании, чтобы все стороны выполнили требования указанного контракта. Во многих блокчейн-проектах используются смарт-контракты. Идея состоит в том, что они устраняют необходимость того, чтобы одна из сторон доверяла другой, но что происходит, когда вы не можете доверять базовому коду самого смарт-контракта??

Наш недавний обзор кода смарт-контракта WHEN выявил подозрительный, вредоносный и откровенно мошеннический код. Читайте подробности.

Проблема с токеном WHEN ERC20

Чтобы просмотреть этот код самостоятельно, посетите: КОГДА смарт-контракт

Проще говоря, контракт токена WHEN позволяет владельцу контракта украсть чьи-либо средства, независимо от того, находятся ли они на централизованной или децентрализованной бирже, в аппаратном или программном кошельке, в горячем или холодном хранилище, бумажном или мозговом кошельке. Это не имеет значения, они могут перемещать токены из одного кошелька в другой, что означает, что они также могут украсть их, если захотят..

Чтобы украсть средства из любого кошелька, владелец контракта должен сначала передать адрес Ethereum функции «authorizeContract»..

Функция authorizeContract

Выдержка из кода смарт-контракта КОГДА

Эта функция имеет конструктивную лазейку, которая не только позволяет владельцу контракта КОГДА вводить любой адрес смарт-контракта по своему выбору, но также он может передать сюда любой адрес кошелька Ethereum. Как показано на изображении выше, всякий раз, когда есть возможность добавления / редактирования / изменения смарт-контрактов в любое время без надлежащих мер, владельцы контрактов могут делать что угодно. Поскольку новый и неразработанный смарт-контракт может содержать любую логику, добрую или злую, честную или мошенническую, вы не можете сказать наверняка..

КОГДА выдержка из кода смарт-контракта

Интересно, что им нужен только адрес, который они контролируют (будь то смарт-контракт или адрес кошелька), установленный в переменной массива «authorizedContracts», и они готовы к работе. Эта переменная используется в функции isContractAuthorized, чтобы проверить, есть ли у кого-то разрешение на выполнение следующей функции, которую мы покажем вам ниже..

КАК КОГДА владелец контракта мог украсть ваши средства?

Это очень просто! Вызывая, казалось бы, невинно выглядящую функцию под названием «vestingGrant».

КОГДА выдержка из кода смарт-контракта

Просто передайте следующие параметры:

  • Эмитент → Адрес, откуда будут украдены токены.
  • Получатель → Адрес, по которому будут отправляться украденные токены.
  • VestedJiffys → Количество токенов для кражи.
  • UnvestedJiffys или что-то еще, что это мумбо-джамбо → 0 (ноль).

Не знаете, что все это значит? Вы можете изучать смарт-контракты на простом английском в Академии Cointelligence.

Биржи, не соблюдающие должную осмотрительность!

Вы уже можете найти WHEN на таких биржах, как HotBit, IDEX, LATOKEN и BITKER. Все эти биржи взимают листинговые сборы и должны использовать листинговые сборы для аудита смарт-контрактов, чтобы найти такие проблемы и решить их до листинга, чтобы защитить своих пользователей..

Наш CSO Хосам Мазави позвонил агентам IDEX по листингу, которые попросили внести плату за листинг в размере 5000 долларов США. "децентрализованная биржа." На вопрос, почему они взимают эту плату, они ответили, что это для аудита смарт-контрактов и юридического аудита. Хосам заявил, что у нас есть аудиторский отчет от одной из ведущих фирм в мире, и что у нас есть юридическое заключение от нашего юрисконсульта в нашей юрисдикции, поэтому в данном случае их стоимость не требовалась. Они по-прежнему отказывались, утверждая, что не доверяют другим фирмам и им приходится делать это снова..

Если это так, то как токен WHEN попал на их биржу? Это похоже на резкое доказательство того, что IDEX не проводит аудит смарт-контрактов или юридическую экспертизу перед размещением токенов на своей бирже. Итак, куда идут эти 5000 долларов??

Ищете аудиторские услуги или услуги комплексной проверки. Посетите нашу страницу служб Cointelligence и узнайте больше.

О Бинод Нирван

Бинод работает аудитором смарт-контрактов в компании Cointelligence. Он разоблачает жульнические токены на основе кода ERC20 или такие токены, которые имеют злонамеренные и злонамеренные намерения по отношению к инвесторам. Бинод также работал с более чем дюжиной блокчейн-стартапов, помогая им в аудите смарт-контрактов и проверке децентрализованных приложений..

О Хосам Мазави

Хосам Мазави – руководитель службы разведки и анализа данных. & аналитическая фирма. Он эксперт-стратег в области криптовалюты. С 2017 года он работал советником в нескольких ICO, таких как Alprockz и Geon Network, руководя их усилиями по маркетингу и развитию бизнеса. Хосам также является соучредителем LemonUnit Boutique Software House, который предлагает индивидуальное программирование..