Funktionen för ett smart kontrakt är enkelt: att hålla tillgångar i spärr till alla parter har uppfyllt kraven i nämnda kontrakt. Många blockchain-projekt använder smarta kontrakt. Tanken är att de tar bort behovet av att någon av parterna ska lita på den andra – men vad händer när du inte kan lita på den underliggande koden i själva smarta kontraktet?

Vår senaste granskning av koden för WHEN smarta kontrakt avslöjade några misstänkta, skadliga och rent skamkoder. Läs vidare för mer information.

Problem med WHEN ERC20-token

För att se den här koden själv, besök: NÄR smart kontrakt

För att uttrycka det tydligt, gör WHEN-tokenavtalet kontraktets ägare att stjäla någons pengar oavsett om de är på en central eller decentraliserad börs, hårdvara eller mjukvaruplånbok, varm- eller kallförvaring, papper eller hjärnplånbok. Det spelar ingen roll, de kan flytta tokens från en plånbok till en annan vilket innebär att de också kan stjäla dem om de vill.

För att stjäla pengar från valfri plånbok måste kontraktsägaren först skicka en Ethereum-adress till funktionen ”authorizeContract”..

Funktion authorizeContract

Utdrag från WHEN smart contract code

Denna funktion har en designklyfta som inte bara gör det möjligt för NÄR kontraktsägaren att ange en smart kontraktsadress efter eget val utan också kan skicka vilken Ethereum-plånbokadress som helst här. Som visas i ovanstående bild, när det finns en möjlighet att lägga till / redigera / ändra smarta kontrakt när som helst utan ordentliga åtgärder på plats, kan kontraktets ägare göra vad som helst. Eftersom det nya och outplacerade smarta kontraktet kan innehålla någon form av logik, bra eller ont, ärlig eller lurig, kan du inte säga med säkerhet.

NÄR smart kontraktskodutdrag

Intressant är att de bara behöver en adress som de kontrollerar (oavsett om det är ett smart kontrakt eller en plånbokadress) som är inställda i matrisvariabeln “authorContracts” och de är bra att gå. Denna variabel används i funktionen “isContractAuthorized” för att kontrollera om någon har behörighet att utföra nästa funktion som vi visar dig nedan.

Hur NÄR kontraktsägare kan stjäla dina medel?

Det är extremt enkelt! Genom att kalla en till synes oskyldig funktion som kallas “vestingGrant”.

NÄR smart kontraktskodutdrag

Skicka bara följande parametrar:

  • Utfärdare → Adressen från vilken tokens kommer att stjälas.
  • Mottagare → Adressen till var de stulna tokens ska gå.
  • VestedJiffys → Mängden tokens som ska stjälas.
  • UnvestedJiffys eller vad som helst som mumbo jumbo är → 0 (noll).

Förvirrad av vad allt detta betyder? Du kan lära sig smarta kontrakt på vanlig engelska vid Cointelligence Academy.

Utbyten som inte gör sin due diligence!

Du kan redan hitta WHEN på börser som HotBit, IDEX, LATOKEN och BITKER. Alla dessa börser tar ut noteringsavgifter och bör använda noteringsavgifterna för att granska smarta kontrakt för att hitta sådana problem och ta itu med dem före listan för att skydda sina användare.

Vår CSO Hosam Mazawi ringde ett samtal med IDEX: s noteringsagenter, som bad om en $ 5000 noteringsavgift för deras "decentraliserat utbyte." På frågan varför de tog ut denna avgift sa de att det var för en smart kontraktsrevision och juridisk revision. Hosam uppgav att vi hade en granskningsrapport från ett av de bästa företagen i världen och att vi har en juridisk åsikt från vår juridiska rådgivare i vår jurisdiktion, så deras kostnad behövdes inte i detta fall. De vägrade fortfarande och hävdade att de inte litar på andra företag och de måste göra det igen.

Om så är fallet, hur började WHEN-token noteras på börsen? Detta verkar som att skära bevis på att IDEX inte gör några smarta kontraktsgranskningar eller juridisk granskning innan de listar tokens på sin börs. Så vart går de $ 5000?

Letar efter revisionstjänst eller due diligence-tjänst. Besök vår Cointelligence Services-sida och läs mer.

Om Binod Nirvan

Binod arbetar som Smart Contract Auditor i Cointelligence. Han har exponerat ERC20-kodbaserade bluff-tokens eller sådana tokens som har skadlig och dålig avsikt gentemot investerare. Binod har också arbetat med över ett dussin blockchain-startups som hjälper dem i smarta kontraktsgranskningar och granskar decentraliserade applikationer.

Om Hosam Mazawi

Hosam Mazawi är CSO för Cointelligence, dataforskningen & analysföretag. Han är en expertstrateg inom kryptovalutafältet. Sedan 2017 har han fungerat som rådgivare för flera ICO: er som Alprockz och Geon Network och vägledt dem i deras marknadsförings- och affärsutvecklingsarbete. Hosam är också medgrundare av LemonUnit Boutique Software House, som erbjuder skräddarsydd programmering.