SQUID鱿鱼游戏合约漏洞技术分析-仍然存在极高风险点
2021-11-09, 10:08
作者:GateChain - Vincent
【TL; DR】- 鱿鱼币闪崩事件发生后,项目方声称已经去除了合约中对于SQUID大额交易的限制,将Owner权限转给了黑洞地址,并关闭了所有社交媒体。
- 近日,鱿鱼币SQUID的价格大幅反弹,较几日前最低点上涨了数百倍。
- 目前,鱿鱼币持币人正在开展一场“社区自救”,希望借着项目方跑路的机会实现更深入的去中心化和社区自治。
- 对SQUID合约代码进行深入的技术分析后,我们发现目前该项目仍然存在不小的风险。
- 风险一:代币仍然比较集中,有再次rug pull的可能。
- 风险二:合约代码仍然可能随时被升级,包括增发大量代币等操作。
上周,SQUID Game的项目方跑路,通过在Pancake SQUID/BNB的池子中大量出货,导致项目代币SQUID的价格一落千丈。事件发生后,项目方声称已经去除了合约中对于SQUID大额交易的限制,将Owner权限转给了黑洞地址,并关闭了所有社交媒体。
崩盘发生时,鱿鱼币价格最低仅为0.0007美元,但鱿鱼币的故事并没有随着其价格归零而结束。近日,鱿鱼币SQUID的价格大幅反弹,截止本文写作时已达0.4美元附近,较几日前最低点上涨了数百倍。
关于11月1日SQUID价格闪崩,请参见Gate.io博客文章: 鱿鱼币跑路闪崩始末:投资人如何选择可靠的项目?
这场“自救”的最终结果将是如何,我们暂时无从知晓。但在对SQUID合约代码进行深入的技术分析后,我们发现,目前SQUID项目仍然存在不小的风险。
SQUID合约风险仍然存在
通过对合约代码的分析,我们发现SQUID并不像某些报道声称的完成了去中心化,仍然有两个风险点:
1:有多个地址持有大量代币,仍有暴力砸盘的风险。
2:合约代码中隐藏风险。
通过查询合约内的可读变量,可以看到SQUID Token合约(0x87230146E138d3F296a9a77e497A2A83012e9Bc5)的owner已经修改为0x0000000000000000000000000000000000000000的黑洞地址,也就是没人有权限可以增发此代币。
也就是说,有人对合约代码做了修改。
通过阅读代码可知,SQUID的合约应用了EIP-1967: Standard Proxy Storage Slots(https://eips.ethereum.org/EIPS/eip-1967)协议,使得合约代码可以升级,核心的升级逻辑在这里:
在初始化合约的时候,项目方指定_sir这个角色。此角色可以在任何时候对合约代码进行升级,在保留合约数据的同时,替换合约的处理逻辑。比如:对冻结的token解冻、重新指定owner、增发几百亿代币等等。
感谢区块链开放的属性,我们可以编写脚本读到链上的所有数据,包括_sir的真实地址:0x6BdB3b0fd9F39427a07b8ab33Bac32Db67EB4E38。
如果这个地址是黑洞地址或者一个timelock,合约会安全很多。但很不幸,_sir可以在任何时候发起一笔交易,升级合约的代码。所以owner指定为黑洞地址,并不能解决合约的风险。
结语
我们将SQUID的合约风险总结如下:
1:代币仍然比较集中,有再次rug的可能。
2:合约代码仍然可能随时被升级,包括增发大量代币等操作。
目前,许多不良项目通过蹭社会热点“粉墨登场”,还有许多不法之徒,利用加密货币难以追踪的性质大举揽财。投资者若是对于加密货币的理解不够深入,对于行骗手段缺乏认识,很容易便会落入圈套。我们建议投资者增强自身辨别力,尽量在可靠的大型平台进行交易,谨防受骗。
鱿鱼币在项目方跑路崩盘后,因媒体报道而出圈,这可能是一个转机,但风险也仍然存在。在这场社区自救的行动下,SQUID是会再度崩盘,还是重获新生呢?让我们拭目以待。
作者:GateChain - Vincent
*本文仅代表观察员观点,不构成任何投资建议。
*本文内容为原创,版权为Gate.io所有,如需转载请注明作者和出处。
即刻交易
加入 Gate.io 赢取奖励
相关文章
