Phân tích tính khả năng dễ bị tổn thương và khả năng rủi ro cao của hợp đồng SQUID GAME
2021-11-09, 10:08
Bởi Gatechain - Vincent
【TL; NS】 Sau sự cố, dự án SQUID tuyên bố đã loại bỏ các hạn chế đối với các giao dịch SQUID lớn khỏi hợp đồng. Nó đã chuyển quyền truy cập của chủ sở hữu vào địa chỉ đen và đóng tất cả các tài khoản mạng xã hội. Gần đây, giá SQUID đã tăng mạnh trở lại, đạt gần $ 0,40 vào thời điểm viết bài này. Con số này tăng hàng trăm X so với thời điểm thấp nhất cách đây vài ngày.
Những người nắm giữ SQUID hiện đang tham gia vào một chiến dịch "cộng đồng tự lực", hy vọng sẽ tận dụng lợi thế của nhóm thực thi trong dự án để đạt được sự phân cấp hơn và quyền tự chủ của cộng đồng đối với dự án.
Trong việc phân tích mã hợp đồng cho thấy vẫn có những rủi ro tiềm tàng trong dự án SQUID: Rủi ro 1: Các token vẫn tập trung ở một số địa chỉ và có khả năng xảy ra đợt rug pull thứ hai. Rủi ro 2: Mã hợp đồng có thể được nâng cấp bất cứ lúc nào. Điều này có thể liên quan đến các hoạt động như phát hành một số lượng lớn tokens bổ sung, điều này sẽ cực kỳ tiêu cực đối với chủ sở hữu token
Khi sự cố xảy ra, giá của SQUID xuống thấp tới 0,0007 đô la, nhưng câu chuyện xung quanh SQUID token vẫn chưa kết thúc khi giá của nó rớt xuống gần bằng không. Nhưng gần đây, giá của nó đã tăng mạnh trở lại, đạt gần $0,40 vào thời điểm viết bài, tăng hàng trăm lần so với mức thấp nhất vài ngày trước.
Tuần trước, các nhà phát triển của dự án tiền điện tử Squid Game (SQUID) đã ăn chặn tiền của các nhà đầu tư và bỏ trốn. Họ đã bán bớt một phần lớn token, lấy thanh khoản từ nhóm giao dịch (SQUID / BNB) trên PancakeSwap. Điều này dẫn đến giá SQUID giảm mạnh. Sau sự cố, dự án tuyên bố đã loại bỏ các hạn chế đối với các giao dịch SQUID lớn khỏi hợp đồng. Nó đã chuyển quyền truy cập của chủ sở hữu vào địa chỉ đen (lưu ý: trong địa chỉ này, những tài khoản cá nhân không thể bị tìm kiếm) và đóng tất cả các tài khoản mạng xã hội.
Sau khi sự sụt giảm được báo cáo trên các phương tiện truyền thông tài chính chính thống, SQUID đã được đưa vào ánh đèn sân khấu và trở thành một đồng tiền phổ biến được thảo luận rộng rãi. Những người nắm giữ hiện đang tham gia vào một chiến dịch "cộng đồng tự lực" (Community Self-help), hy vọng sẽ tận dụng lợi thế của nhóm thực thi trong dự án để đạt được sự phân cấp hơn và quyền tự chủ của cộng đồng đối với dự án.
Hiện tại, vẫn chưa có cách nào để biết kết quả cuối cùng của chiến dịch "tự lực" (“Self-help”) sẽ như thế nào. Tuy nhiên, sau khi phân tích sâu về mã hợp đồng SQUID, chúng tôi nhận thấy rằng dự án SQUID vẫn còn khá nhiều rủi ro.
Những rủi ro còn tồn tại trong hợp đồng SQUID
Một phân tích về mã hợp đồng cho thấy rằng SQUID không được phân cấp như một số báo cáo tuyên bố và vẫn có hai điểm rủi ro.
1: Có nhiều địa chỉ nắm giữ số lượng lớn tokens và đang có nguy cơ bị bán phá giá lớn.
Quan sát qua số liệu thống kê trong mục “Holder” https://bscscan.com/token/0x87230146E138d3F296a9a77e497A2A83012e9Bc5#balances Bạn sẽ tìm ra được top 3 địa chỉ mua tận 30% tổng số tokens và đang và không có bất kỳ sự đóng băng hoặc hạn chế nào khi nói đến việc bán token của họ. Lần rug pull thứ hai có thể xảy ra bất cứ lúc nào.
2: Những rủi ro tiềm ẩn trong mã hợp đồng
Bằng cách truy vấn các biến có thể đọc được trong hợp đồng, bạn có thể thấy rằng chủ sở hữu của hợp đồng mã thông báo SQUID (0x87230146E138d3F296a9a77e497A2A83012e9Bc5) đã được thay đổi thành địa chỉ đen (0x000000000000000000000000000000000000000000000000), có nghĩa là không ai có thể được cấp quyền phát hành thêm token này nữa.
Chủ sở hữu dự án có thể đã chuyển quyền sở hữu thông qua Quyền sở hữu đã bị từ bỏ (như hình bên dưới) để làm cho token "phi tập trung" hơn.
Nhưng đâu là mã logic có thể ngăn cản việc chuyển tiền lớn được thực hiện khi bắt đầu phát hành dự án? Sau khi phân tích mã, chúng tôi nhận thấy rằng mã logic này không còn tồn tại nữa. Nếu có, nó phải được viết thành mã là “_beforeTokenTransfer”.
Nhưng không đồng nghĩa ở trong trường hợp này, “_beforeTokenTransfer” bây giờ là một lệnh trống không.
Điều này có nghĩa là có một ai đó đã thay đổi mã hợp đồng.
Dựa trên mã, chúng tôi thấy rằng hợp đồng SQUID áp dụng giao thức “EIP-1967: Khe lưu trữ proxy tiêu chuẩn” (https://eips.ethereum.org/EIPS/eip-1967). Điều này có nghĩa là mã hợp đồng có thể được nâng cấp bất kỳ lúc nào. Mã code logic nâng cấp cốt lõi được hiển thị bên dưới:
Khi hợp đồng được khởi tạo, dự án chỉ định một vai trò có tên là “_sir”. Vai trò này cho phép mã hợp đồng được nâng cấp bất kỳ lúc nào, thay thế logic xử lý của hợp đồng trong khi vẫn giữ lại dữ liệu hợp đồng. Ví dụ: Giải phóng mã thông báo bị đóng băng, chỉ định lại chủ sở hữu, phát hành hàng chục tỷ mã thông báo bổ sung, v.v. là những điều vẫn rất khả thi.
Vậy địa chỉ tương ứng của “_sir” là gì và nó có thể thay thế được không?
Ở trong mã hợp đồng, không có phương thức đọc nào được cung cấp cho địa chỉ này, cũng như không có khả năng sửa đổi nó. Thay vào đó, nó được lưu trữ một cách thầm lặng trong “vị trí” sau (như hình bên dưới):
Nhờ vào nguồn mở của blockchain, chúng tôi có thể viết code để đọc tất cả dữ liệu on-chain, bao gồm cả địa chỉ thực “_sir”: : 0x6BdB3b0fd9F39427a07b8ab33Bac32Db67EB4E38.
Nếu đó là một địa chỉ đen hoặc một mốc thời gian, hợp đồng sẽ an toàn hơn nhiều. Nhưng thật không may, “_sir” có thể bắt đầu giao dịch bất kỳ lúc nào và nâng cấp mã của hợp đồng bất kỳ lúc nào. Vì vậy, việc chủ sở hữu được chỉ định như một địa chỉ đen có nghĩa là những rủi ro liên quan đến hợp đồng không thể giải quyết
Kết luận
Những rủi ro trong hợp đồng SQUID GAME có thể được tổng hợp lại thông qua những ý sau: 1: Tokens vẫn tập trung ở một số địa chỉ nhất định và có khả năng xảy ra rug pull lần thứ 2. 2: Mã hợp đồng có thể được nâng cấp bất kì lúc nào. Nó có thể bao gồm cả hoạt động như phát hành một số lượng lớn các tokens bổ sung.
Có rất nhiều dự án vô đạo đức đang tiến vào thị trường bằng cách tận dụng sự chú ý của xã hội. Nhiều người trong số họ có xu hướng lừa gạt các nhà đầu tư bằng bản chất khó theo dõi của tiền điện tử. Những người không có hiểu biết tốt về tiền điện tử và thiếu kiến thức về các trò gian lận, có thể dễ dàng rơi vào tình trạng bị lôi kéo. Vì vậy, bạn nên sáng suốt hơn và cố gắng giao dịch trên các nền tảng lớn và đáng tin cậy để ngăn chặn lừa đảo.
SQUID đã phát nổ do phương tiện truyền thông đưa tin mà nó nhận được sau khi gặp sự cố về việc chủ sở hữu đã bỏ trốn. Tình hình vẫn có thể xoay chuyển được nhưng những rủi ro vẫn trong tình trạng cao. SQUID sẽ sụp đổ lần nữa hay tái sinh dưới các hoạt động của chiến dịch “tự lực” của cộng đồng? Hãy cùng chờ xem.
Tác giả: GateChain - Vincent * Bài viết này chỉ trình bày quan điểm của nhà nghiên cứu và không cấu thành bất kỳ lời khuyên đầu tư nào. * Gate.io bảo lưu mọi quyền đối với bài viết này. Việc đăng lại bài viết sẽ được cho phép với điều kiện tham chiếu Gate.io. Trong tất cả các trường hợp khác, hành động pháp lý sẽ được thực hiện do vi phạm bản quyền.