Facebook
YouTube
ฟังก์ชั่นของสัญญาอัจฉริยะนั้นง่ายมาก: การถือครองทรัพย์สินในสัญญากับทุกฝ่ายได้ดำเนินการตามข้อกำหนดของสัญญาดังกล่าวแล้ว โครงการบล็อกเชนจำนวนมากใช้ประโยชน์จากสัญญาอัจฉริยะ แนวคิดก็คือพวกเขาไม่จำเป็นต้องให้ฝ่ายใดฝ่ายหนึ่งเชื่อใจอีกฝ่าย – แต่จะเกิดอะไรขึ้นเมื่อคุณไม่สามารถเชื่อถือรหัสพื้นฐานของสัญญาอัจฉริยะได้?
การตรวจสอบโค้ดล่าสุดของเราสำหรับ WHEN smart contract พบว่ามีโค้ดหลอกลวงที่น่าสงสัยเป็นอันตรายและหลอกลวงอย่างจริงจัง อ่านต่อเพื่อดูรายละเอียด.
ปัญหากับเมื่อโทเค็น ERC20
หากต้องการดูรหัสนี้ด้วยตัวคุณเองโปรดไปที่: เมื่อสัญญาอัจฉริยะ
กล่าวอย่างชัดเจนเมื่อสัญญาโทเค็นช่วยให้เจ้าของสัญญาสามารถขโมยเงินของใครก็ได้ไม่ว่าพวกเขาจะอยู่ในการแลกเปลี่ยนแบบรวมศูนย์หรือแบบกระจายอำนาจกระเป๋าเงินฮาร์ดแวร์หรือซอฟต์แวร์ห้องเก็บของร้อนหรือเย็นกระเป๋ากระดาษหรือสมอง ไม่สำคัญว่าพวกเขาสามารถย้ายโทเค็นจากกระเป๋าเงินหนึ่งไปยังอีกกระเป๋าหนึ่งซึ่งหมายความว่าพวกเขาสามารถขโมยได้หากต้องการ.
ในการขโมยเงินจากกระเป๋าเงินใด ๆ เจ้าของสัญญาจะต้องส่งที่อยู่ Ethereum ไปยังฟังก์ชัน“ authorizeContract” ก่อน.
ฟังก์ชัน authorizeContract
ฟังก์ชั่นนี้มีช่องโหว่ในการออกแบบซึ่งไม่เพียง แต่อนุญาตให้เจ้าของสัญญาป้อนที่อยู่สัญญาอัจฉริยะที่ตนเลือกเท่านั้น แต่ยังสามารถส่งที่อยู่กระเป๋าเงิน Ethereum ได้ที่นี่ เช่นเดียวกับที่แสดงในภาพด้านบนเมื่อใดก็ตามที่มีความเป็นไปได้ในการเพิ่ม / แก้ไข / เปลี่ยนแปลงสัญญาอัจฉริยะเมื่อใดก็ได้โดยไม่มีมาตรการที่เหมาะสมเจ้าของสัญญาสามารถทำอะไรก็ได้ เนื่องจากสัญญาสมาร์ทใหม่และไม่ได้ใช้งานอาจมีตรรกะใด ๆ ดีหรือชั่วซื่อสัตย์หรือหลอกลวงคุณไม่สามารถพูดได้อย่างแน่นอน.
ที่น่าสนใจคือพวกเขาต้องการเพียงที่อยู่ที่ควบคุม (ไม่ว่าจะเป็นสัญญาอัจฉริยะหรือที่อยู่กระเป๋าเงิน) ที่ตั้งค่าไว้ในตัวแปรอาร์เรย์“ AuthorizedContracts” เท่านี้ก็เรียบร้อยดี ตัวแปรนี้ใช้ในฟังก์ชัน“ isContractAuthorized” เพื่อตรวจสอบว่ามีใครได้รับอนุญาตให้เรียกใช้ฟังก์ชันถัดไปหรือไม่ซึ่งเราจะแสดงให้คุณเห็นด้านล่าง.
เมื่อใดที่เจ้าของสัญญาสามารถขโมยเงินของคุณได้?
ง่ายมาก! โดยเรียกฟังก์ชันที่ดูเหมือนไร้เดียงสาเรียกว่า“ vestingGrant”.
เพียงแค่ส่งพารามิเตอร์ต่อไปนี้:
- ผู้ออก→ที่อยู่ที่จะขโมยโทเค็น.
- ผู้รับผลประโยชน์→ที่อยู่ที่โทเค็นที่ถูกขโมยจะไป.
- VestedJiffys →จำนวนโทเค็นที่จะขโมย.
- UnvestedJiffys หรืออะไรก็ตามที่ mumbo jumbo คือ→ 0 (ศูนย์).
สับสนว่าทั้งหมดนี้หมายถึงอะไร? คุณสามารถ เรียนรู้สัญญาอัจฉริยะ เป็นภาษาอังกฤษล้วนที่ Cointelligence Academy.
การแลกเปลี่ยนล้มเหลวในการตรวจสอบสถานะ!
คุณสามารถหาได้แล้วเมื่อแลกเปลี่ยนเช่น HotBit, IDEX, LATOKEN และ BITKER การแลกเปลี่ยนทั้งหมดนี้เรียกเก็บค่าธรรมเนียมในการลงรายการและควรใช้ค่าธรรมเนียมในการลงรายการบัญชีเพื่อตรวจสอบสัญญาอัจฉริยะเพื่อค้นหาปัญหาดังกล่าวและจัดการก่อนที่จะมีรายชื่อเพื่อปกป้องผู้ใช้.
CSO Hosam Mazawi ของเราได้โทรคุยกับตัวแทนรายชื่อของ IDEX ซึ่งขอค่าธรรมเนียมการลงรายการ $ 5,000 สำหรับพวกเขา "การแลกเปลี่ยนแบบกระจายอำนาจ." เมื่อถูกถามว่าทำไมพวกเขาถึงเรียกเก็บค่าธรรมเนียมนี้พวกเขาบอกว่ามันสำหรับการตรวจสอบสัญญาอัจฉริยะและการตรวจสอบทางกฎหมาย Hosam ระบุว่าเรามีรายงานการตรวจสอบจาก บริษัท ชั้นนำแห่งหนึ่งของโลกและเราได้รับความเห็นทางกฎหมายจากที่ปรึกษากฎหมายในเขตอำนาจศาลของเราดังนั้นจึงไม่จำเป็นต้องเสียค่าใช้จ่ายในกรณีนี้ พวกเขายังคงปฏิเสธโดยอ้างว่าไม่ไว้วางใจ บริษัท อื่นและต้องทำอีกครั้ง.
หากเป็นเช่นนั้นโทเค็น WHEN จะแสดงรายการในการแลกเปลี่ยนได้อย่างไร? ดูเหมือนว่าจะเป็นการตัดข้อพิสูจน์ว่า IDEX ไม่ได้ทำการตรวจสอบสัญญาอัจฉริยะหรือการตรวจสอบทางกฎหมายก่อนที่จะแสดงรายการโทเค็นในการแลกเปลี่ยน แล้ว $ 5,000 จะไปอยู่ที่ไหน?
กำลังมองหาบริการตรวจสอบบัญชีหรือบริการตรวจสอบสถานะ ไปที่หน้าบริการ Cointelligence และเรียนรู้เพิ่มเติม.
เกี่ยวกับ Binod Nirvan
Binod ทำงานเป็นผู้ตรวจสอบสัญญาอัจฉริยะใน Cointelligence เขาเปิดโปงโทเค็นหลอกลวงที่ใช้รหัส ERC20 หรือโทเค็นดังกล่าวที่มีเจตนาร้ายและเจตนาร้ายต่อนักลงทุน Binod ยังทำงานร่วมกับ บริษัท สตาร์ทอัพบล็อกเชนกว่าโหลที่ช่วยพวกเขาในการตรวจสอบสัญญาอัจฉริยะและตรวจสอบแอปพลิเคชันที่กระจายอำนาจ.
เกี่ยวกับ Hosam Mazawi
Hosam Mazawi เป็น CSO ของ Cointelligence ซึ่งเป็นฝ่ายวิจัยข้อมูล & บริษัท วิเคราะห์ เขาเป็นนักยุทธศาสตร์ผู้เชี่ยวชาญในด้านสกุลเงินดิจิทัล ตั้งแต่ปี 2017 เขาทำหน้าที่เป็นที่ปรึกษาให้กับ ICO หลายแห่งเช่น Alprockz และ Geon Network โดยให้คำแนะนำพวกเขาในการทำการตลาดและการพัฒนาธุรกิจ โฮซัมยังเป็นผู้ร่วมก่อตั้ง LemonUnit Boutique Software House ซึ่งนำเสนอการเขียนโปรแกรมตามความต้องการ.