Viedā līguma funkcija ir vienkārša: aktīvu turēšana darījumos visām pusēm ir izpildījusi minētā līguma prasības. Daudzi blokķēdes projekti izmanto viedos līgumus. Ideja ir tāda, ka tie novērš nepieciešamību jebkurai pusei uzticēties otrai, bet kas notiek, ja jūs nevarat uzticēties viedā līguma pamatā esošajam kodam?
Nesen pārskatot WHEN viedlīguma kodu, tika atklāts aizdomīgs, ļaunprātīgs un tieši krāpniecisks kods. Lasiet sīkāk.
Izdevums ar WHEN ERC20 marķieri
Lai pats skatītu šo kodu, apmeklējiet: KAD gudrs līgums
Skaidri sakot, WHEN simboliskais līgums ļauj līguma īpašniekam nozagt ikviena līdzekļus neatkarīgi no tā, vai viņi atrodas centralizētā vai decentralizētā apmaiņas, aparatūras vai programmatūras seifā, karstā vai aukstā krātuvē, papīra vai smadzeņu seifā. Tas nav svarīgi, viņi var pārvietot žetonus no viena maka uz otru, kas nozīmē, ka viņi tos var arī nozagt, ja vēlas.
Lai nozagtu līdzekļus no jebkura maka, līguma īpašniekam vispirms ir jānodod Ethereum adrese funkcijai “authorizeContract”..
Funkcija autorizeContract
Šai funkcijai ir izveidota nepilnība, kas ļauj WHEN līguma īpašniekam ne tikai ievadīt jebkuru viedā līguma adresi pēc viņu izvēles, bet arī šeit var nodot jebkuru Ethereum seifa adresi. Tāpat kā parādīts iepriekšējā attēlā, vienmēr, kad ir iespēja pievienot / rediģēt / mainīt viedos līgumus, bez atbilstošiem pasākumiem, līguma īpašnieki var darīt visu. Tā kā jaunais un neizvietotais viedais līgums var saturēt jebkāda veida loģiku, labu vai ļaunu, godīgu vai blēdīgu, jūs nevarat droši pateikt.
Interesanti, ka viņiem ir nepieciešama tikai adrese, kuru viņi kontrolē (neatkarīgi no tā, vai tas ir vieds līgums vai seifa adrese), kas iestatīta masīva mainīgajā “authorisedContracts”, un viņiem ir labi iet. Šis mainīgais tiek izmantots funkcijā “isContractAuthorized”, lai pārbaudītu, vai kādam ir atļauja izpildīt nākamo funkciju, kuru mēs jums parādīsim tālāk.
Kā KAD līguma īpašnieks varētu nozagt jūsu līdzekļus?
Tas ir ārkārtīgi viegli! Izsaucot šķietami nevainīga izskata funkciju ar nosaukumu “vestingGrant”.
Vienkārši nododiet šādus parametrus:
- Izdevējs → Adrese, no kuras tiks nozagti žetoni.
- Saņēmējs → Adrese, kurp nonāks nozagtie žetoni.
- VestedJiffys → Zagto žetonu daudzums.
- UnvestedJiffys vai kāds cits tas mumbo jumbo ir → 0 (nulle).
Apjukuši, ko tas viss nozīmē? Jūs varat iemācīties gudrus līgumus vienkāršā angļu valodā Cointelligence akadēmijā.
Biržas nespēj veikt pienācīgu rūpību!
WHEN jau var atrast tādās biržās kā HotBit, IDEX, LATOKEN un BITKER. Visās šajās biržās tiek iekasēta maksa par iekļaušanu sarakstā, un tām būtu jāizmanto iekļaušanas maksas, lai pārbaudītu viedos līgumus, lai atrastu šādus jautājumus un risinātu tos pirms saraksta, lai aizsargātu savus lietotājus..
Mūsu PSO Hosam Mazawi piezvanīja IDEX biržas aģenti, kuri lūdza iekasēt maksu par USD 5000 USD "decentralizēta apmaiņa." Kad viņiem jautāja, kāpēc viņi iekasē šo maksu, viņi teica, ka tas ir par gudru līgumu un juridisko auditu. Hosams paziņoja, ka mums bija revīzijas ziņojums no vienas no vadošajām firmām pasaulē un mums ir juridisks atzinums no mūsu juriskonsultiem mūsu jurisdikcijā, tāpēc viņu izmaksas šajā gadījumā nebija vajadzīgas. Viņi joprojām atteicās, apgalvojot, ka neuzticas citām firmām un viņiem tas jādara vēlreiz.
Ja tas tā ir, tad kā KAD raksts tika iekļauts viņu biržā? Šķiet, ka tas ir pierādījums tam, ka IDEX neveic nevienu gudru līgumu revīziju vai juridisku pārbaudi pirms marķieru iekļaušanas to apmaiņā. Tātad, kur ir tas 5000 USD?
Meklē revīzijas dienestu vai uzticamības pārbaudes dienestu. Apmeklējiet mūsu Cointelligence Services lapu un uzziniet vairāk.
Par Binodu Nirvanu
Binod strādā par viedo līgumu auditoru Cointelligence. Viņš ir atmaskojis ERC20 uz kodu balstītus blēdības marķierus vai tādus žetonus, kuriem ir ļaunprātīgi un ļaunprātīgi ieguldītāji. Binod ir strādājis arī ar vairāk nekā divpadsmit blokķēdes jaunizveidotajiem uzņēmumiem, palīdzot viņiem viedo līgumu auditos un pārskatot decentralizētas lietojumprogrammas.
Par Hosamu Mazawi
Hosams Mazawi ir datu izpētes Cointelligence CSO & analīzes firma. Viņš ir eksperts stratēģis kriptovalūtas jomā. Kopš 2017. gada viņš ir bijis vairāku ICO, piemēram, Alprockz un Geon Network, padomdevējs, vadot viņus mārketinga un biznesa attīstības centienos. Hosams ir arī LemonUnit Boutique programmatūras nama līdzdibinātājs, kas piedāvā individuālu programmēšanu.