• 平台通知 交易行情
      查看更多
    • 语言&汇率
    • 偏好设置
      涨跌颜色
      涨跌幅起始时间
    Web3 交易所
    Gate博客

    加密货币新闻、热点&行业洞察

    Gate.io 博客 SQUID鱿鱼游戏合约漏洞技术分析-仍然存在极高风险点

    SQUID鱿鱼游戏合约漏洞技术分析-仍然存在极高风险点

    11月09日 18:08
    作者:GateChain - Vincent


    【TL; DR】

    1. 鱿鱼币闪崩事件发生后,项目方声称已经去除了合约中对于SQUID大额交易的限制,将Owner权限转给了黑洞地址,并关闭了所有社交媒体。
    2. 近日,鱿鱼币SQUID的价格大幅反弹,较几日前最低点上涨了数百倍。
    3. 目前,鱿鱼币持币人正在开展一场“社区自救”,希望借着项目方跑路的机会实现更深入的去中心化和社区自治。
    4. 对SQUID合约代码进行深入的技术分析后,我们发现目前该项目仍然存在不小的风险。
    5. 风险一:代币仍然比较集中,有再次rug pull的可能。
    6. 风险二:合约代码仍然可能随时被升级,包括增发大量代币等操作。

    上周,SQUID Game的项目方跑路,通过在Pancake SQUID/BNB的池子中大量出货,导致项目代币SQUID的价格一落千丈。事件发生后,项目方声称已经去除了合约中对于SQUID大额交易的限制,将Owner权限转给了黑洞地址,并关闭了所有社交媒体。

    崩盘发生时,鱿鱼币价格最低仅为0.0007美元,但鱿鱼币的故事并没有随着其价格归零而结束。近日,鱿鱼币SQUID的价格大幅反弹,截止本文写作时已达0.4美元附近,较几日前最低点上涨了数百倍。

    关于11月1日SQUID价格闪崩,请参见Gate.io博客文章: 鱿鱼币跑路闪崩始末:投资人如何选择可靠的项目?



    在各大财经媒体报道暴跌事件后,鱿鱼币因祸得福,一跃成为广受讨论的热点币种。目前,鱿鱼币持币人正在开展一场“社区自救”,希望借着项目方跑路的机会实现更深入的去中心化和社区自治。

    这场“自救”的最终结果将是如何,我们暂时无从知晓。但在对SQUID合约代码进行深入的技术分析后,我们发现,目前SQUID项目仍然存在不小的风险。

    SQUID合约风险仍然存在

    通过对合约代码的分析,我们发现SQUID并不像某些报道声称的完成了去中心化,仍然有两个风险点:

    1:有多个地址持有大量代币,仍有暴力砸盘的风险。



    通过观察bscscan.com的持有人统计(https://bscscan.com/token/0x87230146E138d3F296a9a77e497A2A83012e9Bc5#balances),前三个地址仍持有将近30%的代币,并且是没有任何冻结和限制的。在任意时刻都可以发起第二次rug。

    2:合约代码中隐藏风险。

    通过查询合约内的可读变量,可以看到SQUID Token合约(0x87230146E138d3F296a9a77e497A2A83012e9Bc5)的owner已经修改为0x0000000000000000000000000000000000000000的黑洞地址,也就是没人有权限可以增发此代币。



    项目方可能是通过renounceOwnership方法来转移的owner权限,使代币实现“去中心化”。



    但项目发布伊始,无法大额转账的逻辑又在哪里呢?通过分析代码,已经没有此逻辑存在了。如果有,应该也是在_beforeTokenTransfer中进行限制。



    但事实并非如此,_beforeTokenTransfer现在是一个空函数:


    也就是说,有人对合约代码做了修改。

    通过阅读代码可知,SQUID的合约应用了EIP-1967: Standard Proxy Storage Slots(https://eips.ethereum.org/EIPS/eip-1967)协议,使得合约代码可以升级,核心的升级逻辑在这里:


    在初始化合约的时候,项目方指定_sir这个角色。此角色可以在任何时候对合约代码进行升级,在保留合约数据的同时,替换合约的处理逻辑。比如:对冻结的token解冻、重新指定owner、增发几百亿代币等等。



    那这个_sir的地址是什么,是否可以替换呢?



    在合约代码中,并没有提供此地址的read方法,也没有提供修改的方法。而是默默的存储在这个slot里:

    感谢区块链开放的属性,我们可以编写脚本读到链上的所有数据,包括_sir的真实地址:0x6BdB3b0fd9F39427a07b8ab33Bac32Db67EB4E38。

    如果这个地址是黑洞地址或者一个timelock,合约会安全很多。但很不幸,_sir可以在任何时候发起一笔交易,升级合约的代码。所以owner指定为黑洞地址,并不能解决合约的风险。

    结语

    我们将SQUID的合约风险总结如下:

    1:代币仍然比较集中,有再次rug的可能。

    2:合约代码仍然可能随时被升级,包括增发大量代币等操作。

    目前,许多不良项目通过蹭社会热点“粉墨登场”,还有许多不法之徒,利用加密货币难以追踪的性质大举揽财。投资者若是对于加密货币的理解不够深入,对于行骗手段缺乏认识,很容易便会落入圈套。我们建议投资者增强自身辨别力,尽量在可靠的大型平台进行交易,谨防受骗。

    鱿鱼币在项目方跑路崩盘后,因媒体报道而出圈,这可能是一个转机,但风险也仍然存在。在这场社区自救的行动下,SQUID是会再度崩盘,还是重获新生呢?让我们拭目以待。

    作者:GateChain - Vincent

    *本文仅代表观察员观点,不构成任何投资建议。

    *本文内容为原创,版权为Gate.io所有,如需转载请注明作者和出处。


    解锁盲盒最高获$6666奖励
    立即注册
    即刻领取20点卡
    新人专享,仅需2步马上获得点卡

    🔑 注册账户

    👨‍💼 24小时内进行身份认证

    🎁 获得点卡奖励

    马上领取
    语言及地区
    汇率

    选择语言及地区

    前往土耳其站点?
    土耳其站已上线
    可点击前往TR分站,或是继续留在国际站