即使在熊市,Web3生态也会涌入几个“项目热潮”,你希望能够快速致富,却总是陷入另一种风险。
9月12日,万众期待的Telegram机器人Banana Gun的原生代币 BANANA 推出,随后价格在推出后不到 3 小时内就从峰值 8.7 美元跌至 0.02 美元,跳水接近归零。
Banana Gun 的官方公告将其归咎于代币合约中的一个团队无法修复的错误,并指出“尽管经过了两次审核”。Banana Gun之后表示,正在审计新合约来处理本次错误。为了应对漏洞危机,项目团队制定了两步缓解策略。首先,决定出售财务投资组合以耗尽冻结的现金,并打算将其重新用于新的合约。其次,他们承诺尽快重新启动该项目,并提供空投以补偿受影响的参与者。项目方因为合约漏洞决定重启项目,导致币价跳水。最后,受伤的依然是“冲”进去的用户们。同时,我们也看到智能合约的安全审计为什么这么重要。Banana Gun 是一款基于 Telegram 的Trading Bot (交易机器人),官方介绍能够为用户及时狙击即将推出的代币,或安全地购买已经上线的代币。在 Banana Gun 的交易设置里,分别有“手动交易”和“自动狙击”,相同的条件为防范Rug, MEV保护,5个钱包地址限额。手动交易操作的费率低一些 0.5%,自动狙击的费率则为 0.75%。从六月份起开始有用户涌入;七月Bot用户数破百,再到破千;八月的用户高峰突破2000,截止目前9月初,日活在2500左右,占头部项目的用户总量的35%左右。目前累计的交易量,Banana Gun已经超过 Unibot 交易量的一半。可见即使在熊市中,被称为“degens”的热切参与者也会急切地寻找快速积累财富的机会。Banana Gun合约漏洞是如何被发现的?
目前,一位匿名程序员声称使用 OpenAI 的ChatGPT来发现合约缺陷。他把代码复制到ChatGPT上,结果发现了漏洞。Beosin安全团队将代币合约中有关税收部分的代码存在漏洞分享如下:可以看到,在_transfer()中,Banana Gun团队错误地将 (senderBalance - amount) 的结果赋值给_balances[from]。senderBalance - amount的结果为余额加上fees(代币交易需扣除的税收),而_balances[from]为卖家。如此一来,卖家卖出代币后还可以得到卖币的税收,而 Banana Gun 金库也会增加税收,相当于 $BANANA 会一直处于通胀的状态。最后,可以这样理解:这个事件是项目方后知后觉发现合约有漏洞,因此决定先将原本漏洞合约的流动池耗尽,才导致币价几乎趋近于 0 。随后Banana Gun团队决定部署新的代币合约,并对持有者进行快照。对于亏损的持有者,他们后续也将出台相应的补偿方案。合约审计为何这么重要?用户如何做到安全防范?
可以看到智能合约审计在Web3生态系统中具有重要性。比如上面提到的Banana Gun,由于智能合约处理着重要的资产和交易,审计变得至关重要。
智能合约中的漏洞和安全问题可能导致资金损失、数据泄露或合约被操纵。审计有助于发现和修复这些潜在的漏洞和弱点,确保合约的安全性和可靠性。对合约进行全面审查,可以提前预防潜在的攻击,并确保用户的资金和数据安全。
1. 对项目进行充分调研。用户应当通过项目官网,文档,社区频道,代码审计报告等方面对项目的运行逻辑和潜在风险有足够的了解,避免落入骗局。2. 及时关注项目的最新进展。用户应通过项目的官方推特,电报群,Discord群组等方式及时地了解项目的发展状况,以便在最短时间对Rug Pull,合约漏洞或是黑客攻击做出反应。3. 在即将上线的 Beosin EagleEye 平台。用户可以在 Beosin EagleEye 平台上输入某一代币的合约地址,EagleEye会对其合约代码进行检测,并给出相应的风险提醒。如EagleEye 对于 $Banana 的提醒为该代币合约可以修改税收,有honeypot风险;有白名单功能,某些地址权限过大。此外,EagleEye 还提供监控功能,用户可以使用 EagleEye 对某一地址进行实时监控,进行预警。https://eagleeye.space/risk/0xCcF5CF1D039F1a7B66Be855B79B14A01D0a4dbd5Beosin作为一家全球领先的区块链安全公司,在全球10多个国家和地区设立了分部,业务涵盖项目上线前的代码安全审计、项目运行时的安全风险监控、预警与阻断、虚拟货币被盗资产追回、安全合规KYT/AML等“一站式”区块链安全产品+服务,公司致力于Web3生态的安全发展,已为全球3000多个企业提供区块链安全技术服务,包括HashKey Group、Amber Group、BNB Chain等,已审计智能合约和公链主网超3000份,包括PancakeSwap、Ronin Network、OKCSwap等。欢迎点击公众号留言框,与我们联系。