El contenido proviene del planeta del conocimiento de "Big Orange & Xiaotong's Dry Goods Store", autor Connor Repeat.
1. Impacto negativo natural de AdminUpgradeabilityProxy: el contrato lógico del proxy se puede reemplazar
2. El permiso AdminUpgradeabilityProxy no se transfiere al bloqueo de tiempo: la parte del proyecto no está sujeta al bloqueo de tiempo y puede usarlo libremente1. La llamada capacidad de reemplazar el contrato lógico finalmente, la parte del proyecto reemplazó el contrato normal con el contrato de ataque sin restricciones y se escapó con el dinero.
1. La parte del proyecto intencionalmente "honestamente" dio el registro de permiso de transferencia de bloqueo de tiempo del contrato, lo que demuestra que el método changeAdmin se ejecutó de hecho para transferir el permiso a la dirección de bloqueo de tiempo, que se utiliza para confundir al público.
2. Contrato de proxy 0x7E0c621Ea9F7aFD5b86A50B0942eAee68B04A61C, la llamada interna del método changeAdmin se rastrea hasta la línea 304, la clave de escritura real es ADMIN_ SLOT, pero la clave de lectura es ADMIN_ SLOT. Es decir, una ligera diferencia entre O (Europa) y 0 (cero) hace que el método changeAdmin sea completamente inválido, logrando así la ilusión de que la autoridad ha sido entregada.
1. Esté muy atento a cualquier proyecto que incluya un contrato de representación. Si no hay una restricción de tiempo, el contrato corre el riesgo de ser reemplazado instantáneamente.
2. ¡Nunca confíes, siempre verifica! No crea en la "evidencia" de bloqueo de tiempo dada por la parte del proyecto. Para proyectos de bifurcación no auditados, asegúrese de hacer una diferencia de contrato con el proyecto original uno por uno (si lo hace, puede evitar los trucos de suricata)
3. Basado en 1, es necesario desarrollar un buen sentido de aprobación de la gestión Después de huir, Meerkat todavía usa autorización ilimitada para robar los activos en la billetera del usuario, lo cual es extremadamente vicioso. ¡No seas descuidado, nunca sabes si la mina de suelo que has autorizado contiene el modo proxy y si el contrato malicioso ha sido reemplazado!
4. Timelock es el resultado final de la seguridad. Ya sea HECO's LLC, o BSC's popcornswap and meerkat, los métodos criminales se están volviendo cada vez más ocultos, pero siempre son los mismos. Todos son sin timelock y timelock falso. Aprecia la vida, mantente alejado de las minas de suelo desbloqueadas
Después del incidente de ayer, pocos individuos o equipos han hecho un análisis claro, considerando que los delitos de imitación son inevitables en el futuro, simplemente divulgamos la información con la esperanza de lograr el propósito de la educación en seguridad. Los viejos agricultores deben mejorar su postura y prestar atención a tales riesgos. Finalmente, les deseo a todos una minería y una salida seguras.
Tags:
A principios de primavera y marzo, todo se recupera. La industria de las criptomonedas marcó el comienzo de un mercado alcista perdido hace mucho tiempo. Pero en un futuro cercano.
Hace solo unas semanas, los eventos en la correduría Robinhood generaron pánico. Robinhood es en realidad un representante de la descentralización del mercado financiero.Después de que muchos inversores se unieran par.
El artículo es una contribución de Biquan Beiming, columnista de Jinse Finance and Economics, y sus comentarios solo representan sus puntos de vista personales.
El contenido proviene del planeta del conocimiento de "Big Orange & Xiaotong's Dry Goods Store".
El artículo es una contribución del análisis de blockchain de Niu Qi.
Datos DeFi 1. El valor de mercado total de DeFi: 70.
Golden Weekly es una columna de resumen semanal de la industria de blockchain lanzada por Golden Finance, que cubre noticias clave, datos de mercado y contratos, información minera, dinámica de proyectos.