智能合约何时允许代币盗窃

智能合约的功能很简单：将资产托管在各方都已完成的合同要求之内。许多区块链项目都使用智能合约。这个想法是，他们消除了任何一方信任对方的需要-但是当您不信任智能合约本身的基础代码时会发生什么?

我们最近对WHEN智能合约的代码进行的审查显示了一些可疑，恶意和彻头彻尾的骗局代码。继续阅读以了解详细信息.

WHEN ERC20令牌发行

要自己查看此代码，请访问： 何时智能合约

简而言之，WHEN代币合同使合同所有者可以窃取任何人的资金，无论他们身处集中式或分散式交易所，硬件或软件钱包，冷热库，纸质或大脑钱包。没关系，他们可以将令牌从一个钱包转移到另一个钱包，这意味着如果他们愿意，也可以窃取令牌。.

为了从任何钱包中窃取资金，合约所有者必须首先将以太坊地址传递给功能“ authorizeContract”.

函数authorizeContract

该功能有一个设计漏洞，它不仅允许WHEN合约所有者输入自己选择的任何智能合约地址，而且还可以在此处传递任何以太坊钱包地址。如上图所示，只要有可能在没有适当措施的情况下随时添加/编辑/更改智能合约，合约所有者就可以做任何事情。因为新的和未部署的智能合约可以包含任何逻辑，无论是善意还是邪恶，诚实或骗局，您都不能肯定地说.

有趣的是，他们只需要将自己控制的地址（无论是智能合约还是钱包地址）设置到数组变量“ authorizedContracts”中，就可以了。此变量用于“ isContractAuthorized”函数中，以检查是否有人有权执行下一个函数，我们将在下面向您显示.

合同所有者如何窃取您的资金?

非常简单！通过调用看似无辜的函数“ vestingGrant”.

只需传递以下参数：

• 发行者→令牌将被窃取的地址.
• 收款人→被盗令牌将到达的地址.
• VestedJiffys→要窃取的代币数量.
• UnvestedJiffys或任何巨型组合→0（零）.

这一切意味着什么困惑？你可以 学习智能合约 在Cointelligence Academy用简单的英语.

交易所未尽职调查!

您已经可以在HotBit，IDEX，LATOKEN和BITKER等交易所找到WHEN。所有这些交易所都收取上市费用，并且应该使用上市费用来审核智能合约以发现此类问题并在上市之前解决这些问题，以保护其用户.

我们的CSO Hosam Mazawi与IDEX的上市代理商打了电话，他们要求为其支付5000美元的上市费 "去中心化交易所." 当被问及为什么要收取这笔费用时，他们说这是进行智能合同审核和法律审核的费用。 Hosam表示，我们收到了来自世界顶级公司之一的审计报告，并且获得了我们管辖范围内法律顾问的法律意见，因此在这种情况下不需要其成本。他们仍然拒绝，声称他们不信任其他公司，因此必须再次这样做。.

如果是这样，那么WHEN代币如何在其交易所中上市？这似乎证明了IDEX在其交易所挂牌代币之前没有进行任何智能合约审核或法律审查的证据。那5000美元在哪里?

寻找审计服务或尽职调查服务。访问我们的Cointelligence Services页面并了解更多信息.

关于比诺德·尼尔万（Binod Nirvan）

Binod在Cointelligence中担任Smart Contract Auditor。他一直在公开基于ERC20代码的欺诈令牌或对投资者有恶意和恶意的此类令牌。 Binod还与十几家区块链初创公司合作，协助他们进行智能合约审计和审查去中心化应用程序.

关于胡萨姆·马扎维

Hosam Mazawi是Cointelligence的CSO，数据研究 & 分析公司。他是加密货币领域的专家策略师。自2017年以来，他一直担任Alprockz和Geon Network等多个ICO的顾问，指导他们的营销和业务发展工作。 Hosam还是LemonUnit Boutique软件公司的联合创始人，该公司提供定制编程.