Funkcia inteligentnej zmluvy je jednoduchá: držať aktíva v úschove u všetkých strán splnili požiadavky uvedenej zmluvy. Mnoho blockchainových projektov využíva inteligentné zmluvy. Ide o to, že odstránia potrebu, aby ktorákoľvek zo strán dôverovala druhej – ale čo sa stane, keď nemôžete dôverovať základnému kódu samotnej inteligentnej zmluvy?
Naša nedávna kontrola kódu pre KEDY inteligentnú zmluvu odhalila podozrivý, škodlivý a vyložene podvodný kód. Prečítajte si podrobnosti.
Problém s KEDY token ERC20
Ak si chcete tento kód pozrieť sami, navštívte stránku: KEDY smart kontrakt
Zjednodušene povedané, zmluva KEDY token umožňuje vlastníkovi zmluvy ukradnúť finančné prostriedky komukoľvek, či už je v centralizovanej alebo decentralizovanej burze, hardvérovej alebo softvérovej peňaženke, úložisku tepla alebo chladu, papierovej alebo mozgovej peňaženky. To neprekáža, môžu žetóny premiestňovať z jednej peňaženky do druhej, čo znamená, že ich môžu aj ukradnúť, ak si to želajú.
Aby bolo možné ukradnúť prostriedky z ktorejkoľvek peňaženky, musí vlastník zmluvy najskôr odovzdať adresu Etherea funkcii „authorizeContract“.
Funkcia authorizeContract
Táto funkcia má dizajnovú medzeru, ktorá umožňuje nielen KEDY vlastníkovi zmluvy zadať ľubovoľnú adresu inteligentného kontraktu podľa jeho výberu, ale tiež tu môže odovzdať ľubovoľnú adresu peňaženky Ethereum. Ako je znázornené na vyššie uvedenom obrázku, kedykoľvek existuje možnosť pridávať / upravovať / meniť inteligentné zmluvy kedykoľvek bez vhodných opatrení, vlastníci zmlúv môžu robiť čokoľvek. Pretože nová a nenasadená inteligentná zmluva môže obsahovať akýkoľvek druh logiky, dobrú alebo zlú, čestnú alebo podvodnú, nemôžete s istotou povedať.
Je zaujímavé, že potrebujú iba adresu, ktorú ovládajú (či už ide o inteligentnú zmluvu alebo adresu peňaženky) nastavenú do premennej poľa „authorizedContracts“, a môžu ísť. Táto premenná sa používa vo funkcii „isContractAuthorized“ na kontrolu, či má niekto povolenie na vykonanie nasledujúcej funkcie, ktorú vám ukážeme nižšie.
Ako KEDY mohol vlastník zmluvy ukradnúť vaše prostriedky?
Je to nesmierne ľahké! Zavolaním zdanlivo nevinne vyzerajúcej funkcie zvanej „vestingGrant“.
Stačí zadať nasledujúce parametre:
- Emitent → Adresa, z ktorej budú ukradnuté tokeny.
- Príjemca → Adresa, na ktorú sa dostanú ukradnuté tokeny.
- VestedJiffys → Množstvo tokenov, ktoré sa majú ukradnúť.
- UnvestedJiffys alebo čokoľvek iné, čo je veľké písmeno → 0 (nula).
Zmätení, čo to všetko znamená? Môžeš učiť sa inteligentné zmluvy v jednoduchej angličtine na Cointelligence Academy.
Výmeny, ktoré nevykonávajú náležitú starostlivosť!
WHEN už nájdete na burzách ako HotBit, IDEX, LATOKEN a BITKER. Všetky tieto burzy si účtujú poplatky za zaradenie do zoznamu a mali by používať poplatky za zaradenie do zoznamu na audit inteligentných zmlúv s cieľom nájsť tieto problémy a vyriešiť ich pred zaradením do zoznamu na ochranu svojich používateľov.
Náš CSO Hosam Mazawi volal s agentmi spoločnosti IDEX, ktorí požadovali zaradenie do zoznamu a požiadali o poplatok za zaradenie do zoznamu vo výške 5 000 dolárov. "decentralizovaná výmena." Na otázku, prečo si účtujú tento poplatok, povedali, že ide o audit inteligentných zmlúv a právny audit. Hosam uviedol, že sme mali audítorskú správu od jednej z najlepších spoločností na svete a máme právny názor od nášho právneho zástupcu v našej jurisdikcii, takže ich náklady v tomto prípade nie sú potrebné. Stále to odmietli s tvrdením, že nedôverujú iným firmám a musia to urobiť znova.
Ak je to tak, ako sa dostal KEDY token na ich burzu? To sa javí ako rezný dôkaz, že IDEX nevykonáva žiadne inteligentné audity zmlúv ani právne kontroly pred zaradením tokenov na ich burze. Kam teda smeruje tých 5 000 dolárov?
Hľadáte audítorskú službu alebo službu náležitej starostlivosti. Navštívte našu stránku Cointelligence Services a dozviete sa viac.
O spoločnosti Binod Nirvan
Binod pracuje ako inteligentný audítor kontraktov v kointeligencii. Odhaľoval podvodné tokeny založené na kóde ERC20 alebo také tokeny, ktoré majú škodlivý a zlý úmysel voči investorom. Binod tiež spolupracoval s viac ako tuctom startupov v blockchaine, ktoré im pomáhali pri inteligentných auditoch zmlúv a kontrole decentralizovaných aplikácií..
O Hosamovi Mazawim
Hosam Mazawi je CSO spoločnosti Cointelligence zaoberajúcej sa dátovým výskumom & analytická firma. Je to odborný stratég v oblasti kryptomeny. Od roku 2017 pracoval ako poradca v niekoľkých ICO, ako sú Alprockz a Geon Network, a sprevádzal ich v ich snahách o marketing a rozvoj podnikania. Hosam je tiež spoluzakladateľom spoločnosti LemonUnit Boutique Software House, ktorá ponúka programovanie na mieru.