WENN Smart Contract den Diebstahl von Tokens erlaubt

Die Funktion eines intelligenten Vertrags ist einfach: Um Vermögenswerte in einem Treuhandkonto zu halten, haben alle Parteien die Anforderungen dieses Vertrags erfüllt. Viele Blockchain-Projekte nutzen intelligente Verträge. Die Idee ist, dass keine Partei mehr der anderen vertrauen muss – aber was passiert, wenn Sie dem zugrunde liegenden Code des Smart-Vertrags selbst nicht vertrauen können??

Unsere kürzlich durchgeführte Überprüfung des Codes für den WHEN-Smart-Vertrag ergab verdächtigen, böswilligen und geradezu betrügerischen Code. Lesen Sie weiter für Details.

Problem mit dem WHEN ERC20-Token

Um diesen Code selbst anzuzeigen, besuchen Sie: WENN kluger Vertrag

Um es klar auszudrücken: Mit dem WHEN-Token-Vertrag kann der Vertragsinhaber jedermanns Geld stehlen, unabhängig davon, ob er sich in einer zentralen oder dezentralen Vermittlungsstelle, einer Hardware- oder Software-Brieftasche, einem Hot- oder Cold-Storage, einer Papier- oder einer Brain-Brieftasche befindet. Es spielt keine Rolle, sie können Token von einer Brieftasche in eine andere verschieben, was bedeutet, dass sie sie auch stehlen können, wenn sie dies wünschen.

Um Geld aus einer Brieftasche zu stehlen, muss der Vertragsinhaber zunächst eine Ethereum-Adresse an die Funktion “authorizeContract” übergeben..

Funktion authorizeContract

Auszug aus WHEN Smart Contract Code

Diese Funktion verfügt über eine Designlücke, durch die der WANN-Vertragsinhaber nicht nur eine intelligente Vertragsadresse seiner Wahl eingeben kann, sondern auch eine beliebige Ethereum-Brieftaschenadresse hier übergeben kann. Wie im obigen Bild gezeigt, können die Vertragseigentümer alles tun, wenn jederzeit die Möglichkeit besteht, intelligente Verträge ohne geeignete Maßnahmen hinzuzufügen, zu bearbeiten oder zu ändern. Da der neue und nicht eingesetzte Smart-Vertrag jede Art von Logik enthalten kann, ob gut oder böse, ehrlich oder betrügerisch, können Sie nicht sicher sagen.

WENN Smart Contract Code Auszug

Interessanterweise benötigen sie nur eine Adresse, die sie steuern (ob es sich um einen Smart-Vertrag oder eine Brieftaschenadresse handelt), die in der Array-Variablen “autorisierte Verträge” festgelegt ist, und sie können loslegen. Diese Variable wird in der Funktion “isContractAuthorized” verwendet, um zu überprüfen, ob jemand die Berechtigung zum Ausführen der nächsten Funktion hat, die wir Ihnen unten zeigen.

Wie WANN der Vertragsinhaber Ihre Gelder stehlen könnte??

Es ist extrem einfach! Durch Aufrufen einer scheinbar unschuldig aussehenden Funktion namens “vestingGrant”.

WENN Smart Contract Code Auszug

Übergeben Sie einfach die folgenden Parameter:

  • Aussteller → Die Adresse, von der die Token gestohlen werden.
  • Begünstigter → Die Adresse, an die die gestohlenen Token gehen.
  • VestedJiffys → Die Anzahl der zu stehlenden Token.
  • UnvestedJiffys oder was auch immer dieser Hokuspokus ist → 0 (Null).

Verwirrt darüber, was das alles bedeutet? Sie können Lernen Sie intelligente Verträge in einfachem Englisch an der Cointelligence Academy.

Börsen, die ihre Sorgfaltspflicht nicht erfüllen!

Sie finden WHEN bereits an Börsen wie HotBit, IDEX, LATOKEN und BITKER. Alle diese Börsen erheben Listungsgebühren und sollten die Listungsgebühren verwenden, um die intelligenten Verträge zu prüfen, um solche Probleme zu finden und sie vor der Listung anzugehen, um ihre Benutzer zu schützen.

Unser CSO Hosam Mazawi hatte einen Anruf bei den IDEX-Listing-Agenten, die für sie eine Listing-Gebühr von 5000 US-Dollar verlangten "dezentraler Austausch." Auf die Frage, warum sie diese Gebühr erheben, gaben sie an, dass es sich um eine intelligente Vertragsprüfung und eine rechtliche Prüfung handelt. Hosam gab an, dass wir einen Prüfungsbericht von einer der weltweit führenden Firmen hatten und dass wir ein Rechtsgutachten von unserem Rechtsbeistand in unserer Gerichtsbarkeit haben, sodass deren Kosten in diesem Fall nicht erforderlich waren. Sie lehnten es immer noch ab und behaupteten, dass sie anderen Firmen nicht vertrauen und es erneut tun müssen.

Wenn dies der Fall ist, wie wurde der WHEN-Token dann an der Börse gelistet? Dies scheint ein Beweis dafür zu sein, dass IDEX keine intelligenten Vertragsprüfungen oder rechtlichen Überprüfungen durchführt, bevor Token an ihrem Austausch gelistet werden. Also, wohin gehen diese 5000 Dollar??

Auf der Suche nach einem Auditing- oder Due-Diligence-Service. Besuchen Sie unsere Cointelligence Services-Seite und erfahren Sie mehr.

Über Binod Nirvan

Binod arbeitet als Smart Contract Auditor in Cointelligence. Er hat ERC20-Code-basierte Betrugstoken oder solche Token aufgedeckt, die böswillige und böswillige Absichten gegenüber Anlegern haben. Binod hat auch mit über einem Dutzend Blockchain-Startups zusammengearbeitet, die sie bei intelligenten Vertragsprüfungen und der Überprüfung dezentraler Anwendungen unterstützen.

Über Hosam Mazawi

Hosam Mazawi ist der CSO von Cointelligence, der Datenrecherche & Analysefirma. Er ist ein erfahrener Stratege auf dem Gebiet der Kryptowährung. Seit 2017 war er Berater mehrerer ICOs wie Alprockz und Geon Network und leitete sie bei ihren Marketing- und Geschäftsentwicklungsbemühungen. Hosam ist außerdem Mitbegründer des LemonUnit Boutique Software House, das maßgeschneiderte Programme anbietet.