Funkcija pametne pogodbe je preprosta: hramba sredstev v zakupu za vse stranke so izpolnile zahteve iz omenjene pogodbe. Številni blockchain projekti uporabljajo pametne pogodbe. Zamisel je, da odstranijo potrebo, da bi katera koli stranka zaupala drugi – toda kaj se zgodi, ko ne morete zaupati osnovni kodi same pametne pogodbe?
Naš nedavni pregled kode za pametno pogodbo WHEN je razkril nekaj sumljive, zlonamerne in naravnost prevarantske kode. Preberite več o podrobnostih.
Težava z žetonom WHEN ERC20
Če si želite sami ogledati to kodo, obiščite: KDAJ pametna pogodba
Povedano jasno, pogodba žetona WHEN lastniku pogodbe omogoča, da ukrade sredstva vsakomur, ne glede na to, ali je na centralizirani ali decentralizirani borzi, denarnici strojne ali programske opreme, vročem ali hladilnem skladišču, papirni ali možganski denarnici. Ni važno, žetone lahko premikajo iz ene denarnice v drugo, kar pomeni, da jih lahko tudi ukradejo, če to želijo.
Da bi lastnik pogodbe ukradel sredstva iz katere koli denarnice, mora najprej posredovati naslov Ethereum funkciji »authiteContract«.
Funkcija pooblastiContract
Ta funkcija ima vrzel v oblikovanju, ki lastniku pogodbe WHEN omogoča, da vnese kateri koli naslov pametne pogodbe po svoji izbiri, temveč lahko tu posreduje kateri koli naslov denarnice Ethereum. Kot je prikazano na zgornji sliki, lahko lastniki pogodb kadar koli dodajo / urejajo / spreminjajo pametne pogodbe brez ustreznih ukrepov. Ker nova in nerazporejena pametna pogodba lahko vsebuje kakršno koli logiko, dobro ali zlo, pošteno ali prevara, ne morete zagotovo trditi.
Zanimivo je, da potrebujejo le naslov, ki ga nadzirajo (naj bo to pametna pogodba ali naslov denarnice), ki je nastavljen v spremenljivko polja »pooblaščeni naročila«, in so pripravljeni. Ta spremenljivka se uporablja v funkciji “isContractAuthorized”, da preveri, ali ima nekdo dovoljenje za izvajanje naslednje funkcije, ki vam jo pokažemo spodaj.
Kako KDAJ lahko lastnik pogodbe ukrade vaša sredstva?
To je izredno enostavno! S klicem na videz nedolžne funkcije, imenovane “vestingGrant”.
Prenesite naslednje parametre:
- Izdajatelj → Naslov, od koder bodo žetoni ukradeni.
- Upravičenec → Naslov, kamor bodo odšli ukradeni žetoni.
- VestedJiffys → Količina žetonov za krajo.
- Neizkušeni Jiffys ali karkoli že, da je mumbo jumbo → 0 (nič).
Zmedeni, kaj vse to pomeni? Ti lahko se naučijo pametnih pogodb v preprosti angleščini na Cointelligence Academy.
Borze niso opravile skrbnega pregleda!
KDAJ že lahko najdete na borzah, kot so HotBit, IDEX, LATOKEN in BITKER. Vse te borze zaračunavajo provizije za kotacijo in bi morale takse za kotacijo uporabljati za revizijo pametnih pogodb, da bi našli takšne težave in jih rešili pred uvrstitvijo, da bi zaščitili svoje uporabnike.
Naš OCD Hosam Mazawi je poklical IDEX-ove kotacijske agente, ki so zahtevali 5000 USD kotizacije za svoje "decentralizirana izmenjava." Na vprašanje, zakaj zaračunavajo to pristojbino, so odgovorili, da gre za revizijo pametnih pogodb in pravno revizijo. Hosam je izjavil, da smo imeli revizijsko poročilo enega vodilnih podjetij na svetu in imamo pravno mnenje pravnega svetovalca iz naše jurisdikcije, zato v tem primeru niso bili potrebni njihovi stroški. Kljub temu so zavrnili, češ da drugim podjetjem ne zaupajo in da morajo to ponoviti.
Če je temu res tako, kako je žeton WHEN uvrščen na njihovo borzo? To se zdi rezalni dokaz, da IDEX ne opravi nobene revizije pametnih pogodb ali pravnega pregleda, preden ne uvrsti žetonov na svojo borzo. Kam gre torej tistih 5000 $?
Iščete revizijsko službo ali službo skrbnega pregleda. Obiščite našo stran Cointelligence Services in izveste več.
O Binodu Nirvanu
Binod deluje kot revizor pametnih pogodb v Cointelligence. Razkrival je žetone za prevaro, ki temeljijo na kodi ERC20, ali take žetone, ki so do vlagateljev zlonamerni in nenamerni. Binod je sodeloval tudi z več kot desetimi blockchain zagonskimi podjetji, ki jim pomagajo pri revizijah pametnih pogodb in pregledujejo decentralizirane aplikacije.
O Hosamu Mazawiju
Hosam Mazawi je direktor organizacije Cointelligence za raziskave podatkov & podjetje za analizo. Je strokovni strateg na področju kriptovalut. Od leta 2017 je bil svetovalec za številne mednarodne organizacije ICO, kot sta Alprockz in Geon Network, in jih vodil pri njihovih prizadevanjih za trženje in razvoj podjetja. Hosam je tudi soustanovitelj LemonUnit Boutique Software House, ki ponuja programiranje po naročilu.