Análise da Vulnerabilidade do Contrato do Jogo SQUID — O Risco Continua Alto!

2021-11-09, 10:08

Resumo
Após a falha, o projeto SQUID alegou ter removido do contrato as restrições sobre grandes transações SQUID. Ele transferiu o acesso do proprietário ao endereço do buraco negro e encerrou todas as contas de mídia social.

Recentemente, o preço do SQUID se recuperou acentuadamente, chegando perto de US$ 0,40 no momento da redação deste artigo. Está acima de centenas de X, desde o seu ponto mais baixo, há alguns dias.

Os detentores do SQUID estão atualmente engajados em uma campanha de "autoajuda comunitária", esperando aproveitar a equipe fugitiva do projeto para obter mais descentralização e autonomia da comunidade para o projeto.

Uma análise do código do contrato mostra que ainda há riscos no projeto SQUID.

Risco 1: os tokens ainda estão concentrados em vários endereços. Existe a possibilidade de um segundo puxão de tapete.

Risco 2: o código do contrato pode ser atualizado a qualquer momento. Isso pode envolver operações como a emissão de um grande número de tokens adicionais, que seriam extremamente negativos para os detentores de tokens.

Quando o crash ocorreu, o preço do SQUID chegou a US$ 0,0007, mas a história em torno do token SQUID não terminou quando seu preço chegou perto de zero. Recentemente, seu preço se recuperou acentuadamente, chegando perto de US$ 0,40 no momento da redação deste artigo, centenas de vezes acima de seu ponto mais baixo há alguns dias.

Na semana passada, os desenvolvedores do projeto cripto Squid Game (SQUID) embolsaram os fundos dos investidores e não foram vistos em lugar nenhum. Eles venderam uma grande parte dos tokens, extraindo liquidez do pool de negociação (SQUID/BNB) no PancakeSwap. Isso levou a uma queda maciça no preço do SQUID. Após o incidente, o projeto alegou ter removido do contrato as restrições sobre grandes transações SQUID. Ele transferiu o acesso do proprietário para o endereço do buraco negro (nota: nesse endereço, a chave privada não pode ser encontrada) e encerrou todas as contas de mídia social.

Para mais informações sobre o flash crash do SQUID, que ocorreu em 1º de novembro, por favor leia aqui: O jogo Squid sofreu a puxada de tapete: como podemos escolher um projeto confiável?


Depois que a queda foi relatada nos principais meios de comunicação financeiros, o SQUID foi lançado no centro das atenções e se tornou uma moeda popular, mas que estava sendo amplamente discutida. Os titulares estão atualmente engajados em uma campanha de “autoajuda comunitária”, esperando aproveitar a equipe fugitiva do projeto para obter mais descentralização e autonomia da comunidade para o projeto.

Não há como saber quais serão os resultados finais da campanha de "autoajuda". No entanto, após uma análise aprofundada do código do contrato SQUID, descobrimos que o projeto SQUID ainda é bastante arriscado.


Riscos que permanecem no contrato Squid


Uma análise do código do contrato mostra que o SQUID não é tão descentralizado como alguns relatórios afirmam e que ainda existem dois pontos de risco.

1. Existem vários endereços com grandes quantidades de tokens, mas ainda há risco de um despejo maciço.


Observando as estatísticas na seção de “Mantenedor”
Veja o endereço https://bscscan.com/token/0x87230146E138d3F296a9a77e497A2A83012e9Bc5#balances, localizado em bscscan.com. Lá você encontrará os três principais endereços que ainda detêm quase 30% dos tokens e estão livres de qualquer congelamento ou restrições, quando se trata de vender seus tokens. A segunda puxada do tapete pode ocorrer a qualquer momento.

2. Riscos ocultos no código do contrato.
Ao consultar as variáveis legíveis dentro do contrato, você pode ver que o proprietário do contrato SQUID Token (0x87230146E138d3F296a9a77e497A2A83012e9Bc5) foi alterado para um endereço de buraco negro (0x000000000000000000000000000000000000000000000), o que significa que ninguém pode receber a autoridade para emitir tokens adicionais.


O proprietário do projeto pode ter transferido os direitos de propriedade por meio da renúncia de propriedade (como mostrado abaixo) para tornar o token mais "descentralizado".


No entanto, onde estava o código lógico que poderia ter impedido que grandes transferências fossem feitas no início do lançamento do projeto? Depois de analisar o código, descobrimos que esse código lógico não existe mais. Se sim, deve ser escrito no código como “_beforeTokenTransfer”.


Entretanto, não parece ser o caso, já que “_beforeTokenTransfer” agora é uma função vazia.


Isso significa que alguém fez alterações no código do contrato.

Com base no código, descobrimos que o contrato SQUID aplica o protocolo “EIP-1967: Standard Proxy Storage Slots” (https://eips.ethereum.org/EIPS/eip-1967). Isso significa que o código do contrato pode ser atualizado a qualquer momento. A lógica de atualização principal é mostrada abaixo:


Quando o contrato foi iniciado, o projeto especificou uma função chamada “_sir”. Essa função permite que o código do contrato seja atualizado a qualquer momento, substituindo a lógica de processamento do contrato, enquanto retém os dados do contrato. Por exemplo: descongelar tokens congelados, atribuir um proprietário, emitir dezenas de bilhões de tokens adicionais, etc. Tudo ainda é muito possível.


Então, qual é o endereço correspondente do “_sir” e é substituível?

No código do contrato não está previsto nenhum método de leitura para o endereço, nem a possibilidade de modificá-lo. Em vez disso, ele é armazenado silenciosamente no seguinte “slot” (como mostrado abaixo):


Graças à natureza de código aberto do blockchain, podemos escrever código para ler todos os dados on-chain, incluindo o endereço real de “_sir”: 0x6BdB3b0fd9F39427a07b8ab33Bac32Db67EB4E38.

Se fosse um endereço de buraco negro ou um timelock, o contrato seria muito mais seguro. Mesmo assim, infelizmente, “_sir” pode iniciar uma transação a qualquer momento e atualizar o código do contrato a qualquer momento. Portanto, o fato de o proprietário ser especificado como um endereço de buraco negro significa que os riscos envolvidos no contrato não podem ser resolvidos.


Conclusão


Os riscos do contrato do jogo SQUID podem ser resumidos da seguinte forma.

1: Os tokens ainda estão concentrados em vários endereços, e existe a possibilidade de um segundo puxão de tapete.
2: O código do contrato pode ser atualizado a qualquer momento. Isso pode envolver operações como a emissão de um grande número de tokens adicionais.

Há muitos projetos sem escrúpulos que estão entrando em cena, porque aproveitam os holofotes sociais. Muitos deles tendem a enganar os investidores por meio da natureza não rastreável das criptomoedas. Aqueles que não têm uma boa compreensão das criptomoedas, ou não têm conhecimento em termos de golpes, podem facilmente cair em um puxão de tapete. Você é aconselhado a ser mais criterioso e tentar negociar em plataformas grandes e confiáveis para evitar fraudes.

O SQUID explodiu devido à cobertura da mídia que recebeu após o acidente, com o proprietário longe de ser visto. Pode ser revertido, mas os riscos também permanecem altos. O SQUID entrará em colapso novamente ou renascerá sob as ações da campanha de “autoajuda” da comunidade? Vamos esperar e ver.




Autor: GateChain - Vincent.
Tradução em PT-BR: João Gab.
*AVISO LEGAL: este artigo representa apenas as opiniões dos pesquisadores, autores e observadores, mas não é uma sugestão de investimento. A Gate.io detém todos os direitos deste artigo. A republicação do artigo será permitida, mas a Gate.io deverá ser devidamente citada. Nos outros casos, as medidas legais serão tomadas por violação de direitos autorais.
Compartilhar
gate logo
Credit Ranking
Complete Gate Post tasks to upgrade your rank