Funksjonen til en smart kontrakt er enkel: å holde eiendeler i sperring til alle parter har fullført kravene i nevnte kontrakt. Mange blockchain-prosjekter bruker smarte kontrakter. Tanken er at de fjerner behovet for at en av partene stoler på den andre – men hva skjer når du ikke kan stole på den underliggende koden til selve smartkontrakten?
Vår nylige gjennomgang av koden for WHEN-smartkontrakten avslørte mistenkelig, ondsinnet og rett og slett svindel-kode. Les videre for detaljer.
Problem med NÅR ERC20-token
For å se denne koden selv, besøk: NÅR smart kontrakt
For å si det klart, gjør WHEN-tokenkontrakten kontraktseieren i stand til å stjele andres midler, enten de er på en sentralisert eller desentralisert sentral-, maskinvare- eller programvarelommebok, varm eller kald lagring, papir eller hjernebok. Det spiller ingen rolle, de kan flytte tokens fra en lommebok til en annen, noe som betyr at de også kan stjele dem hvis de ønsker det.
For å stjele midler fra en hvilken som helst lommebok, må kontraktseieren først sende en Ethereum-adresse til funksjonen “autorisere kontrakt”.
Funksjon authorizeContract
Denne funksjonen har et designhull som ikke bare tillater NÅR kontraktseieren skriver inn hvilken som helst smart kontraktadresse etter eget valg, men de kan også sende hvilken som helst Ethereum-lommebokadresse her. Som vist i bildet ovenfor, når det er mulighet for å legge til / redigere / endre smarte kontrakter når som helst uten riktige tiltak på plass, kan kontraktseierne gjøre hva som helst. Fordi den nye og uutplasserte smarte kontrakten kan inneholde noen form for logikk, god eller ond, ærlig eller svindel, kan du ikke si sikkert.
Interessant, de trenger bare en adresse de kontrollerer (enten det er en smart kontrakt eller en lommebokadresse) som er satt inn i arrayvariabelen “autoriserte kontrakter”, og de er gode å gå. Denne variabelen brukes i funksjonen “isContractAuthorized” for å sjekke om noen har tillatelse til å utføre neste funksjon vi viser deg nedenfor.
Hvordan NÅR Kontraktseier kan stjele pengene dine?
Det er ekstremt enkelt! Ved å kalle en tilsynelatende uskyldig funksjon kalt “vestingGrant”.
Bare pass følgende parametere:
- Utsteder → Adressen hvor tokens blir stjålet.
- Mottaker → Adressen der stjålne poletter skal gå.
- VestedJiffys → Mengden tokens som skal stjele.
- UnvestedJiffys eller hva som helst den mumbo-jumboen er → 0 (null).
Forvirret av hva alt dette betyr? Du kan lære smarte kontrakter på vanlig engelsk på Cointelligence Academy.
Børs som ikke klarer å utføre sin aktsomhet!
Du finner allerede NÅR på børser som HotBit, IDEX, LATOKEN og BITKER. Alle disse børsene tar opp noteringsgebyrer og bør bruke noteringsgebyrene til å revidere smarte kontrakter for å finne slike problemer og takle dem før oppføringen for å beskytte brukerne..
Vår CSO Hosam Mazawi ringte med IDEXs noteringsagenter, som ba om et $ 5000 noteringsgebyr for deres "desentralisert utveksling." På spørsmål om hvorfor de betalt denne avgiften sa de at det er for en smart kontraktsrevisjon og juridisk revisjon. Hosam uttalte at vi hadde en revisjonsrapport fra et av de beste firmaene i verden, og vi har juridisk mening fra vår juridiske rådgiver i vår jurisdiksjon, så kostnadene var ikke nødvendige i dette tilfellet. De nektet fortsatt og hevdet at de ikke stoler på andre firmaer, og de må gjøre det igjen.
Hvis det er tilfelle, hvordan ble WHEN-token oppført på børsen? Dette virker som å kutte bevis på at IDEX ikke gjør noen smarte kontraktsrevisjoner eller juridisk gjennomgang før de noterer tokens på børsen. Så hvor går de $ 5000?
Leter etter revisjonstjeneste eller due diligence-tjeneste. Besøk vår Cointelligence Services-side og lær mer.
Om Binod Nirvan
Binod jobber som Smart Contract Auditor i Cointelligence. Han har avslørt ERC20-kodebaserte svindel-tokens eller slike tokens som har ondsinnet og dårlig intensjon mot investorer. Binod har også jobbet med over et dusin blockchain-oppstart som hjelper dem med smarte kontraktsrevisjoner og gjennomgår desentraliserte applikasjoner.
Om Hosam Mazawi
Hosam Mazawi er CSO for Cointelligence, dataforskningen & analyseselskap. Han er en ekspertstrateg innen kryptovaluta-feltet. Siden 2017 har han fungert som rådgiver for flere ICO-er som Alprockz og Geon Network, og veiledet dem i deres markedsførings- og forretningsutviklingsarbeid. Hosam er også medstifter av LemonUnit Boutique Software House, som tilbyr skreddersydd programmering.