KDY Inteligentní smlouva umožňuje krádež tokenů

Funkce inteligentní smlouvy je jednoduchá: držet aktiva v úschově u všech stran splnilo požadavky uvedené smlouvy. Mnoho blockchainových projektů využívá chytré smlouvy. Myšlenka je, že odstraňují potřebu, aby jedna ze stran věřila druhé – ale co se stane, když nemůžete důvěřovat základnímu kódu samotné inteligentní smlouvy?

Naše nedávná kontrola kódu pro WHEN smart contract odhalila podezřelý, škodlivý a vyloženě podvodný kód. Přečtěte si podrobnosti.

Problém s KDYŽ token ERC20

Chcete-li tento kód zobrazit sami, navštivte: KDY chytrá smlouva

Zjednodušeně řečeno, smlouva KDY token umožňuje majiteli smlouvy ukrást jakékoli prostředky, ať už jsou v centralizované nebo decentralizované burze, hardwarové nebo softwarové peněžence, úložišti pro horké nebo studené zboží, papírové nebo mozkové peněžence. Nezáleží na tom, že mohou přesouvat žetony z jedné peněženky do druhé, což znamená, že je mohou také ukrást, pokud si to přejí.

Aby bylo možné ukrást prostředky z jakékoli peněženky, musí vlastník smlouvy nejprve předat adresu Etherea funkci „authorizeContract“.

Funkce authorizeContract

Výňatek z KDYŽ kód inteligentní smlouvy

Tato funkce má konstrukční mezeru, která nejen umožňuje majiteli smlouvy, KDYŽ zadá jakoukoli inteligentní adresu smlouvy podle svého výběru, ale také zde může předat jakoukoli adresu peněženky Ethereum. Jak je ukázáno na výše uvedeném obrázku, kdykoli existuje možnost přidat / upravit / změnit inteligentní smlouvy kdykoli bez náležitých opatření, mohou vlastníci smlouvy udělat cokoli. Protože nová a neosazená chytrá smlouva může obsahovat jakýkoli druh logiky, dobrou nebo zlou, čestnou nebo podvodnou, nemůžete s jistotou říci.

KDY je výňatek z kódu chytré smlouvy

Zajímavé je, že potřebují pouze adresu, kterou ovládají (ať už jde o chytrý kontrakt nebo adresu peněženky) nastavenou do proměnné pole „authorizedContracts“, a je dobré jít. Tato proměnná se používá ve funkci „isContractAuthorized“ ke kontrole, zda má někdo oprávnění k provedení další funkce, kterou vám ukážeme níže.

Jak KDY by vlastník smlouvy mohl ukrást vaše prostředky?

Je to nesmírně snadné! Voláním zdánlivě nevinně vypadající funkce zvané „vestingGrant“.

KDY je výňatek z kódu chytré smlouvy

Stačí předat následující parametry:

  • Vydavatel → Adresa, ze které budou ukradeny tokeny.
  • Příjemce → Adresa, kam budou odcizené tokeny směřovat.
  • VestedJiffys → Množství žetonů ke krádeži.
  • UnvestedJiffys nebo cokoli, co mumbo jumbo je → 0 (nula).

Jste zmateni tím, co to všechno znamená? Můžeš naučit se inteligentní smlouvy v obyčejné angličtině na Cointelligence Academy.

Výměny, které neprovádějí náležitou péči!

KDY již najdete na burzách jako HotBit, IDEX, LATOKEN a BITKER. Všechny tyto burzy účtují poplatky za zařazení do seznamu a měly by používat poplatky za zařazení k auditu inteligentních smluv, aby takové problémy našly a řešily je před výpisem, aby ochránily své uživatele.

Náš CSO Hosam Mazawi měl hovor s agenty IDEXu, kteří požádali o poplatek za zařazení $ 5 000 za jejich "decentralizovaná výměna." Na otázku, proč účtují tento poplatek, odpověděli, že jde o audit inteligentních smluv a právní audit. Hosam uvedl, že jsme měli zprávu o auditu od jedné z nejlepších firem na světě a máme právní názor od našeho právního zástupce v naší jurisdikci, takže jejich náklady nebyly v tomto případě nutné. Stále to odmítli a tvrdili, že nedůvěřují jiným firmám a musí to udělat znovu.

Pokud tomu tak je, jak se tedy při jejich výměně zobrazil ŽÁDNÝ token? To se jeví jako důkaz, že IDEX neprovádí žádné inteligentní audity kontraktů ani právní kontrolu před vypsáním tokenů na jejich burze. Kam tedy jde těch 5000 $?

Hledáte auditorskou službu nebo službu náležité péče. Navštivte naši stránku Cointelligence Services a dozvíte se více.

O společnosti Binod Nirvan

Binod pracuje jako inteligentní auditor kontraktů v kointeligenci. Odhalil podvodné tokeny založené na kódu ERC20 nebo takové tokeny, které mají škodlivé a špatné úmysly vůči investorům. Binod také spolupracoval s více než tuctem startupů blockchainu, které jim pomáhaly při inteligentních auditech kontraktů a při kontrole decentralizovaných aplikací.

O Hosamovi Mazawimu

Hosam Mazawi je CSO společnosti Cointelligence, datového výzkumu & analytická firma. Je odborným stratégem v oblasti kryptoměny. Od roku 2017 působil jako poradce u několika ICO, jako jsou Alprockz a Geon Network, a prováděl je v jejich úsilí v oblasti marketingu a rozvoje podnikání. Hosam je také spoluzakladatelem LemonUnit Boutique Software House, který nabízí programování na míru.