RAM:案例 | UniCats “開后門” 釣魚 十數萬UNI“洗白”

時值國慶大假期間，加密錢包初創公司ZenGo的研究員亞歷克斯·馬努斯金爆料稱，有用戶一夜之間損失了價值14萬美元的Uniswap代幣UNI，而這與名為UniCats的“收益農場”有關。

據了解，一些參與DeFi提供流動性挖礦賺取收益的用戶最近發現了UniCats這個新農場。從界面來看，UniCats類似YamFinance和SushiSwap；收益方面，不僅可挖礦本地MEOW代幣，同時還可挖出包括UNI在內的其它代幣。

界面友好，產能不賴，資產入場。

當用戶準備提供流動性時，UniCats彈出提示框，要求獲取消費限制許可，而該許可的限制是：無限。

澳大利亞央行官員：將加強CBDC研究，但尚未確信存在政策案例:11月18日消息，澳大利亞儲備銀行支付政策主管Tony Richards在澳大利亞企業財政協會上表示，澳大利亞儲備銀行一直在加強對央行數字貨幣（CBDCs）的研究，但不相信“澳大利亞已經出現了強有力的政策案例。”他表示，澳大利亞目前的支付基礎設施為消費者提供了充足的安全和便利的選擇，然而，鑒于世界各地的支付創新，提供一種新的數字貨幣形式可能是“維護對國家貨幣的信心和法定貨幣在貨幣、金融和支付系統中的核心作用 ”以及防止大型技術壟斷的關鍵。此外，央行也在與金融監管機構理事會（CFR）、澳大利亞交易報告和分析中心以及澳大利亞競爭和消費者委員會一起研究穩定幣監管。（CoinDesk）[2021/11/18 22:01:35]

用戶可能怎么也不會想到，在這個無限消費的許可的背后，UniCats開發者早已暗置了一個直通自家資產的“后門”。用戶的資產可由此被悄悄轉移至開發者指定的地址。

人民網發布《2019，內容科技元年》白皮書，包括區塊鏈應用內容案例:3月27日，人民網組織編寫的《2019，內容科技（ConTech）元年》白皮書正式發布。報告從國內外內容產業對人工智能、大數據、區塊鏈、云計算、物聯網、5G通信等技術的典型應用角度梳理了“內容科技”的14個案例，包括：人工智能推動新浪新聞實現智媒平臺轉型；從效率到創意：微軟人工智能EQ與IQ的均衡發展；人民網內容的大數據梳理和監控；《紐約時報》大數據分析系統Stela；今日頭條的“大數據+算法”；人民在線：區塊鏈在版權保護方面的應用；區塊鏈技術在內容安全方面的應用；媒體融合實戰——媒體云平臺；阿里云；自然災害新聞的傳感器應用；車聯網的實際應用；慶祝中華人民共和國成立70周年閱兵式5Ｇ直播；“我的豐收我的節—70地慶豐收全媒體聯動直播”活動；氣味王國帶動電影消費升級。（人民網）[2020/3/27]

就這樣，有大膽且不幸的“農夫”瞬間被竊取了價值14萬美元的UNI，而其他用戶也有不同程度的損失。

Telegram提供案例繼續反駁美國SEC對其違反聯邦證券法的指控:Telegram在3月6日致紐約南區美國地方法院法P. Kevin Castel的一封信中，把人們的注意力引向了最近的一起案件。Telegram稱，這起案件破壞了美國證券交易委員會(sec)對該公司的禁令。在Telegram看來，加州法院對原告提交的案件的判決——“Siry Investment”——支持了Telegram對SEC的立場。Telegram認為，自己的Gram代幣在購買協議中使用的語言，與Siry的合作協議中使用的語言有相似之處。Telegram寫道:“在Siry案中，這些Gram條款表明，私募的經濟現實并不是違反美國證券法向公眾發行證券。”就SEC而言，它對Telegram的說法提出了異議，并于3月9日向法院提交了一封信。委員會指出，Telegram的論點“繼續犯了錯誤，最終導致了致命的依賴于標簽而非實質”，而且是兩家公司“通過引用法律措辭的聲明，試圖掩蓋本案交易的實際經濟現實和條款”的又一例證。SEC則對此提出了異議，并于3月9日向法院提交了一封信。SEC指出，被告Telegram的論點“持續犯錯，并最終導致了依賴于標簽而非實質”。Telegram無非是又一家“通過引用法律措辭聲明，試圖掩蓋本案交易的實際經濟現實和條款”的公司罷了。（cointelegraph）[2020/3/10]

盜竊“現場”

RSA首席技術官：不相信目前許多區塊鏈應用案例無法用傳統的方法解決:據ZDNet的報道，RSA首席技術官Zulfikar Ramzan在采訪中稱，不相信目前許多區塊鏈應用案例無法用傳統的方法解決，例如數據庫。他表示，在許多情況下，區塊鏈是一種“重型模式”，可解決缺乏信任的情況，但通常區塊鏈解決方案中存在許多信任假設。Ramzan同時稱，區塊鏈現在被視為魔術，人們認為它可以解決一切問題，但可以不代表應該。“你可以買一把大錘把圖釘插入墻上，你也可以用你的拇指，這是一個更便宜的解決方案，也可能因其他原因而更好，我認為這就是我們目前的問題所在。”[2018/5/3]

那么，UniCats開的這個“后門”，又是如何對用戶進行竊金操作的呢？

1、盜竊者首先將UniCats的owner權限轉移給一個合約地址。

2、盜竊者通過獲得owner權限的合約地址調用UniCats的setGovernance方法。

3、setGovernance函數調用對于代幣的transferFrom函數，將用戶資產轉移到盜竊者地址。

第2、3步為此次盜竊的核心步驟，如下圖所示：

“后門”分析

UniCats合約中的setGovernance函數是實現盜竊的關鍵。通過調用此函數，UniCats合約即可作為調用者，能夠向任意合約發起任意調用。

據上圖所示，調用該方法可輸入兩個參數?,即一個地址類型的“_governance”和一個bytes類型的“_setData”。而函數的governance.call(_setupData)其實是表示向參數“_governance”地址發起一筆交易，其calldata為參數“_setData”。如此一來，只要有權限調用這個方法，便可以借合約的身份發起任意交易。

在進行代碼編寫時，其注釋表示此函數是一個修改治理合約的函數，如下圖所示：

事實上，根據成都鏈安的審計經驗，修改治理合約通常并不需要調用call。而且，UniCats在對用戶資產進行盜竊時，還刻意多次變換owner地址，如下圖所示：

不僅如此，資產在轉出后還立刻被流入混淆器，如下圖所示：

如此操作，老練狠辣、一氣呵成，因此基本可以斷定，該項目就是一個徹頭徹尾的騙局，為的就是釣魚詐騙而上線。

令人細思極恐的是，在本案例中盜竊者調用了transferFrom方法對用戶的資產實施轉賬，這就使得即便存在于錢包的用戶資產，也可能面臨被盜的風險。由于在合約授權時發起的是無額度限制授權，因此，一旦授權許可通過，合約就有權轉移用戶所有的資產。

成都鏈安鄭重提醒，用戶在進行合約授權時，使用多少，授權多少。這樣操作的話，即便不幸遭遇類似欺詐性質的合約，也不會殃及錢包中的本金。如果用戶不太清楚自己的授權情況，可以通過以下工具進行查詢。

1、https://approved.zone

2、https://revoke.cash

3、https://tac.dappstar.io/#/

小結

于DeFi領域，用戶獲得新幣的門檻大大降低，通過組合資產投資的確可能在短期內實現大規模的增值收益。但是，用戶資產可能面臨的風險狀況就變得更為復雜，在這點上必須引起高度注意。

在DeFi這個“黑暗森林”，大膽冒險是禁忌一般的行為。用戶資產不僅要受到客觀行情波動的影響，質押時是否遭受“清算”也無法預知，而合約中的人為陷阱更是無處不在。

尤其是，不少DeFi項目都存在代理轉賬的邏輯，多數項目方也會直接要求用戶授權最大值。也就是說，用戶授權后，某些不良合約將利用留“后門”的手段，反噬用戶所持的全部資產。

因此，對于用戶而言，來自合約的一切許可請求都要格外注意，寧理性退場，不冒然入坑，時刻警惕惡意項目方的此類“后門”陷阱。

Tags：RAMUNITELGRAMAGORAMCOMMUNIQUEtelluscoinStargram Coin

Uniswap