NÅR Smart kontrakt tillader tyveri af poletter

Funktionen af ​​en smart kontrakt er enkel: at holde aktiver i spærring til alle parter har opfyldt kravene i nævnte kontrakt. Mange blockchain-projekter bruger smarte kontrakter. Ideen er, at de fjerner behovet for, at en af ​​parterne stoler på den anden – men hvad sker der, når du ikke kan stole på den underliggende kode i selve smartkontrakten?

Vores nylige gennemgang af koden til WHEN smart-kontrakt afslørede nogle mistænkelige, ondsindede og ligefrem scammy-koder. Læs videre for detaljer.

Problem med WHEN ERC20-token

For at se denne kode selv, besøg: NÅR smart kontrakt

For at sige det tydeligt gør WHEN-token-kontrakten kontraktsejeren i stand til at stjæle nogens midler, uanset om de er på en central eller decentral børs, hardware- eller softwarepung, varm eller kold opbevaring, papir eller hjernepung. Det betyder ikke noget, de kan flytte tokens fra en tegnebog til en anden, hvilket betyder, at de også kan stjæle dem, hvis de ønsker det.

For at stjæle penge fra en hvilken som helst tegnebog skal kontraktindehaveren først videregive en Ethereum-adresse til funktionen “autorisereContract”.

Funktion authorizeContract

Uddrag fra NÅR smart kontraktkode

Denne funktion har et smuthul i design, der ikke kun tillader, hvornår kontraktindehaveren indtaster enhver smart kontraktadresse efter eget valg, men de kan også videregive enhver Ethereum-tegnebogadresse her. Som vist i ovenstående billede, når der er mulighed for at tilføje / redigere / ændre smarte kontrakter til enhver tid uden passende foranstaltninger på plads, kan kontraktindehaverne gøre noget. Fordi den nye og udplacerede smarte kontrakt kan indeholde enhver form for logik, god eller ond, ærlig eller svindel, kan du ikke sige med sikkerhed.

NÅR smart kontraktkode uddrag

Interessant nok har de kun brug for en adresse, de kontrollerer (hvad enten det er en smart kontrakt eller en tegnebogadresse), der er indstillet i arrayvariablen “autoriserede kontrakter”, og de er gode at gå. Denne variabel bruges i funktionen “isContractAuthorized” for at kontrollere, om nogen har tilladelse til at udføre den næste funktion, vi viser dig nedenfor.

Hvordan NÅR kontraktindehaver kunne stjæle dine midler?

Det er ekstremt let! Ved at kalde en tilsyneladende uskyldig funktion kaldet “vestingGrant”.

NÅR smart kontraktkode uddrag

Bare send følgende parametre:

  • Udsteder → Adressen, hvorfra tokens bliver stjålet.
  • Modtager → Adressen, hvor de stjålne poletter skal hen.
  • VestedJiffys → Mængden af ​​tokens, der skal stjæles.
  • UnvestedJiffys eller hvad den mumbo-jumbo er → 0 (nul).

Forvirret af hvad alt dette betyder? Du kan lære smarte kontrakter på almindelig engelsk på Cointelligence Academy.

Børser, der ikke gør deres due diligence!

Du kan allerede finde WHEN på børser som HotBit, IDEX, LATOKEN og BITKER. Alle disse børser opkræver noteringsgebyrer og skal bruge noteringsgebyrerne til at kontrollere de smarte kontrakter for at finde sådanne problemer og tackle dem inden noteringen for at beskytte deres brugere.

Vores CSO Hosam Mazawi havde et opkald med IDEX’s noteringsagenter, der bad om et $ 5000 noteringsgebyr for deres "decentral udveksling." Da de blev spurgt, hvorfor de opkrævede dette gebyr, sagde de, at det var til en smart kontrakter revision og juridisk revision. Hosam erklærede, at vi havde en revisionsberetning fra en af ​​verdens førende virksomheder, og at vi har juridisk udtalelse fra vores juridiske rådgiver i vores jurisdiktion, så deres omkostninger var ikke nødvendige i dette tilfælde. De nægtede stadig og hævdede, at de ikke stoler på andre firmaer, og de skal gøre det igen.

Hvis det er tilfældet, hvordan blev WHEN-token noteret på deres børs? Dette virker som at skære bevis på, at IDEX ikke foretager nogen smarte kontraktrevisioner eller juridisk gennemgang, før de noterer tokens på deres børs. Så hvor går de $ 5000 hen?

På udkig efter revisionstjeneste eller due diligence-service. Besøg vores Cointelligence Services-side og lær mere.

Om Binod Nirvan

Binod arbejder som Smart Contract Auditor i Cointelligence. Han har eksponeret ERC20-kodebaserede fidus-tokens eller sådanne tokens, der har ondsindet og dårlig hensigt over for investorer. Binod har også arbejdet med over et dusin blockchain-startups, der hjælper dem med smarte kontraktrevisioner og gennemgår decentrale applikationer.

Om Hosam Mazawi

Hosam Mazawi er CSO for Cointelligence, dataforskningen & analysefirma. Han er en ekspertstrateg inden for kryptovalutaområdet. Siden 2017 har han fungeret som rådgiver for flere ICO’er som Alprockz og Geon Network og vejledt dem i deres marketing- og forretningsudviklingsindsats. Hosam er også medstifter af LemonUnit Boutique Software House, der tilbyder skræddersyet programmering.