Title: АУДИТ КОНТРАКТА GORGONA.IO Post by: yanarod on September 13, 2018, 02:54:44 PM Добрый день, я являюсь разработчиком контрактов на Solidity уже более года.
Ко мне обратился знакомый с просьбой аудита контракта по адресу 0x4a5fc826441a16b86aa850b3ddc4b1bc02f21b6c На сколько я понял это gorgona.io Я провел аудит данного контракта и тут постараюсь изложить то, что я нашел. Объяснение, прочитайте ВНИМАТЕЛЬНО (код ОБЯЗАТЕЛЬНО смотрите на etherscan.io, на github можно выкладывать измененную версию) 1. На сайте ребята заявляют, что контракт с функцией "отказа от владения". На деле это не так. У контракта есть владелец и это есть в коде: Code: // 38 строка Сама по себе это строчка ничего губительного не делает, пока она только подтверждает что это контракт БЕЗ "отказа от владения" и ребята врут. 2. Как контракт расчитывает прибыль? Code: // 177 - 180 строки Упрощенная суть строчки такая: взять значение депозита и посчитать начисленный процент учитывая разницу во времени, она считается вот этим отрывком кода Code: (now - investors[addr].date) 3. А теперь фокус: ВЛАДЕЛЕЦ КОНТРАКТА МОЖЕТ ПОМЕНЯТЬ ДАТУ ВЫВОДА СРЕДСТВ У ЛЮБОГО УЧАСТНИКА Вот эта часть кода: Code: // 167 - 170 строки Дословно читать как: Назначить ПРОИЗВОЛЬНУЮ дату вывода средсв (uint date) для любого инвестора (addr) и сделать это может только ВЛАДЕЛЕЦ (onlyOwner) Из этого схема вывода: Владалец контракта может с любого адреса закинуть, например 10 ETH Далее вызывать setDatePayout и назначить дату вывода открученную на 1 ГОД назад, контракт это примет за правду, т.к. в коде нет защиты от такого сценария. Теперь выплаты на этот адрес составят 365 дней * 3 процента = 1095%, т.е. более чем 100 ETH Результат: вывод всей кассы ВОЗМОЖЕН владельцем контракта Я крайне не рекомендую вкладыватся в подобные проекты. На этой неделе у меня есть свободное время, я постараюсь сделать аудиты других контрактов. Как приятный бонус могу сказать что через указанный выше метод можно так же блокировать выплаты любым инвесторам. Title: Re: АУДИТ КОНТРАКТА GORGONA.IO Post by: FlooMeer on September 13, 2018, 03:22:34 PM О, наконец подробный аудит, спасибо! ::) Но ребята из GORGONA этого и не скрывают, и до появления вашего аудита уже дали развернутый ответ на подобные вопросы в своем официальном телеграм-чате, цитирую:
Так как в мире смарт-контрактов очень часто появляются новые методы влияния на другие контракты, и завтра могут появиться любые потенциальные методы нарушения работы нашего смарт-контракта, то мы специально заложили эту функцию для его защиты! Например, чтобы обезопасить наш смарт-контракт от другого вредоносного контракт, который своей неработоспособностью может нарушить работу авто-выплат. Спасибо что проявили бдительность! Также, на днях мы планируем обновить сайт, на котором можно будет видеть информацию по своему депозиту, когда была выплата, когда следующая и прочее. Так что все ок! Я лично зашел, чего и всем советую! Проект хороший, поддержка на уровне, в чате прям формируется целое сообщество! :) А главное – GORGONA надежный проект, который реально платит! А вообще ваш пост больше походит на черный пиар конкурентов >:( Так что ждем обещанный аудит остальных проектов! Жаль вот только 333eth вы не сможете проверить, так как у них закрыт код контракта, и вот там у них в 333eth вероятно действительно что-то очень плохое прячется в контракте! Успехов! ;) Title: Re: АУДИТ КОНТРАКТА GORGONA.IO Post by: yanarod on September 13, 2018, 03:32:40 PM О, наконец подробный аудит, спасибо! ::) Но ребята из GORGONA этого и не скрывают, и до появления вашего аудита уже дали развернутый ответ на подобные вопросы в своем официальном телеграм-чате, цитирую: Так как в мире смарт-контрактов очень часто появляются новые методы влияния на другие контракты, и завтра могут появиться любые потенциальные методы нарушения работы нашего смарт-контракта, то мы специально заложили эту функцию для его защиты! Например, чтобы обезопасить наш смарт-контракт от другого вредоносного контракт, который своей неработоспособностью может нарушить работу авто-выплат. Спасибо что проявили бдительность! Также, на днях мы планируем обновить сайт, на котором можно будет видеть информацию по своему депозиту, когда была выплата, когда следующая и прочее. Так что все ок! Я лично зашел, чего и всем советую! Проект хороший, поддержка на уровне, в чате прям формируется целое сообщество! :) А главное – GORGONA надежный проект, который реально платит! А вообще ваш пост больше походит на черный пиар конкурентов >:( Так что ждем обещанный аудит остальных проектов! Жаль вот только 333eth вы не сможете проверить, так как у них закрыт код контракта, и вот там у них в 333eth вероятно действительно что-то очень плохое прячется в контракте! Успехов! ;) Оправдание "мы добавили вывод всей кассы, что бы было безопаснее" (gorgona) звучит так-же как и "мы скрыли код, что бы его не украли" (333eth) Т.к. вы является автором англоязычного поста горгоны, не удивительно, что вы пытаетесь обелить скамный проект. Аудит другого контракта я готов провести хоть сегодня, мне, в отличие от вас, от этого ни жарко, ни холодно. Напишите какие проекты вы хотите что бы я проверил. Title: Re: АУДИТ КОНТРАКТА GORGONA.IO Post by: FlooMeer on September 13, 2018, 03:52:29 PM О, наконец подробный аудит, спасибо! ::) Но ребята из GORGONA этого и не скрывают, и до появления вашего аудита уже дали развернутый ответ на подобные вопросы в своем официальном телеграм-чате, цитирую: Так как в мире смарт-контрактов очень часто появляются новые методы влияния на другие контракты, и завтра могут появиться любые потенциальные методы нарушения работы нашего смарт-контракта, то мы специально заложили эту функцию для его защиты! Например, чтобы обезопасить наш смарт-контракт от другого вредоносного контракт, который своей неработоспособностью может нарушить работу авто-выплат. Спасибо что проявили бдительность! Также, на днях мы планируем обновить сайт, на котором можно будет видеть информацию по своему депозиту, когда была выплата, когда следующая и прочее. Так что все ок! Я лично зашел, чего и всем советую! Проект хороший, поддержка на уровне, в чате прям формируется целое сообщество! :) А главное – GORGONA надежный проект, который реально платит! А вообще ваш пост больше походит на черный пиар конкурентов >:( Так что ждем обещанный аудит остальных проектов! Жаль вот только 333eth вы не сможете проверить, так как у них закрыт код контракта, и вот там у них в 333eth вероятно действительно что-то очень плохое прячется в контракте! Успехов! ;) Оправдание "мы добавили вывод всей кассы, что бы было безопаснее" (gorgona) звучит так-же как и "мы скрыли код, что бы его не украли" (333eth) Т.к. вы является автором англоязычного поста горгоны, не удивительно, что вы пытаетесь обелить скамный проект. Аудит другого контракта я готов провести хоть сегодня, мне, в отличие от вас, от этого ни жарко, ни холодно. Напишите какие проекты вы хотите что бы я проверил. Да, я делал тему в английской ветке, потому что сам вложился в проект и верь в него! Title: Re: АУДИТ КОНТРАКТА GORGONA.IO Post by: arrow174 on September 13, 2018, 06:04:19 PM ВОТ О ЧЕМ Я И ГОВОРИЛ!!! GORGONA это СКАМ! и те кто туда залил свой эфир будут всеми правдами и не правдами пытаться залить в уши чушь, чтобы хомяки пополняли, а потом побреют и их и хомяков)
Title: Re: АУДИТ КОНТРАКТА GORGONA.IO Post by: tristable on September 14, 2018, 07:11:41 AM А не затруднит сделать аудит нашего контракта? Проверьте, пожалуйста, этот контракт, выглядит лучше других и реально там всего 10 строк кода.У нас нет комиссии и контракт на 20 строчек! :) https://etherscan.io/address/0x7b307c1f0039f5d38770e15f8043b3dd26da5e8f Title: Re: АУДИТ КОНТРАКТА GORGONA.IO Post by: FlooMeer on September 14, 2018, 05:50:48 PM Из официального Телеграм-канала проекта GORGONA.io
⚠️ВНИМАНИЕ, важная информация! ⚠️ Дорогие инвесторы, у нас хорошие новости! Вероятно вы знаете, что некоторая функция нашего смарт-контракта определенным людям не понравилась, а именно – возможность сместить дату последней выплаты у инвестора администратором проекта. Эта функция была оставлена для реагирования на возможные хаки и взломы, и никогда не планировалась использоваться как-то иначе. Об этом администрация заявляет публично, прямо и с полной уверенностью! Но к сожалению, другие конкурентные проекты решили использовать этот аргумент как средство для низкого и черного пиара. И вот теперь, когда проект GORGONA уже привлек без малого 100ETH инвестиций, мы решили доказать вам, что мы никогда не планировали использовать данную функцию для вывода средств, и создали новый смарт-контракт в которой данной функции не будет! Все средства будут перемещены на новый контракт (используя данную функцию). Все данные о ваших инвестициях будут сохранены! Выплаты будут продолжаться и дальше, как-будто это прежний смарт-контракт. Мы считаем, что абсолютная честность и открытость с нашими инвесторами залог успеха! И так, теперь новый контракт будет обладать следующим: – Отказ от владения: У контракта не будет владельца, смотрите графу Owner на Etherscan, там должно стоят 0х000000000000000000. Это значит, что владеет контрактом нулевой (несуществующий) адрес. – Исправлена потенциальная проблема, когда инвестором является зловредный контракт. – Убрана возможность менять дату последней выплаты у инвесторов. А также мы добавили супер-функцию: Убийца Горгоны! Теперь вы сможете положить Горгону на лопатки! Станьте самым крупным инвестором, и заставьте Горгону выплачивать вам реферальские отчисления ото всех инвесторов, кто пришел без рефера! Если ваш депозит самый большой, то вы будете получать 3% от всех депозитов инвесторов, которые не имеют реферала до тех пор, пока кто-то другой не перебьет ваш депозит! Будьте победителем, заставьте Горгону платить вам! Также, мы обновили сайт! Мы добавили следующие функции: – Личный кабинет. Теперь вы можете получить информацию о депозитах, выплатах, реферальских и прочую важную и полезную информацию. – Возможность заказать выплату прямо с сайта! – Информация по текущему Убийце Горгоны! Но и это не все! Мы изменили контракт на случай когда закончатся деньги для выплат. В этом случае Горгона перезапустится! Да, будет классический рестарт, все оставшиеся средства будут пущены на выплаты в следующем раунде! Теперь Горгона будет платить пожизненно, без вариантов! Данное обновление планируем завершить уже завтра, 15 сентября 2018 года! Следите за новостями и оставайтесь с самым честным, прибыльным и надежным смарт-контрактом с открытым исходным кодом – GORGONA.io (http://GORGONA.io) _ Title: Re: АУДИТ КОНТРАКТА GORGONA.IO Post by: FlooMeer on September 15, 2018, 08:51:19 PM Из официального Телеграм-канала проекта GORGONA.io
⚠️| ВНИМАНИЕ – важная информация! | ⚠️ Дорогие наши инвесторы! Как мы и обещали, сегодня мы выполнили замену нашего смарт-контракта на новый, без функции смены времени и с 100% отказом от владения авторами! Встречайте новый смарт-контракт – https://etherscan.io/address/0x020e1...C64C513ffCBdec Все ваши вклады и выплаты автоматически перенеслись на новый контракт, все будет работать в штатном режиме – как и раньше вы будете получать свои выплаты по расписанию (соответственно реинвест нужно будет делать уже на новый контракт). А также мы выполнили большое обновления сайта, о котором ранее обещали, встречайте – GORGONA.io/ru (http://GORGONA.io/ru) 🚀🚀🚀 _ Title: Re: АУДИТ КОНТРАКТА GORGONA.IO Post by: BCprofit on September 18, 2018, 07:03:24 AM Доброго дня.) Не затруднит Вас сделать аудит нашего контракта публично?
0xDf1f0c982E6574c4B89eC49E2636aBd9a25a3126 Title: Re: АУДИТ КОНТРАКТА GORGONA.IO Post by: Mamontik43 on September 18, 2018, 10:55:15 AM Доброго дня.) Не затруднит Вас сделать аудит нашего контракта публично? на 450 строк, ну думаю публично никто не сделает аудит0xDf1f0c982E6574c4B89eC49E2636aBd9a25a3126 Title: Re: АУДИТ КОНТРАКТА GORGONA.IO Post by: DeZZZ on September 19, 2018, 06:45:35 AM ясное дело что лохотрон, хайпы переобуваются в ногу со временем :)) теперь админчикам мало знать фронтэнд, без солидити сложновато будет
Title: Re: АУДИТ КОНТРАКТА GORGONA.IO Post by: FlooMeer on September 20, 2018, 12:37:22 PM Из официального телеграм-канала проекта:
Независимый аудит смарт-контракта GORGONA.io: https://www.youtube.com/watch?v=lrQ4gcE_sWw ––––– Выводы авторов аудита: Мы не нашли: - бекдоров для администратора - багов для препятствия работы проекта - багов для кражи средств из проекта Нашли: - возможность инвесторам объединяться в пулы через смарт-контракты, чтобы стать GargonaKiller и получать по 3% с каждого пополнения от участников у которых нет реферера. ––––– Дорогие инвесторы, теперь вы можете быть уверены на 100%, что GORGONA.io (http://GORGONA.io) самый надежный, прозрачный и честный проект! Смело вкладывайтесь в GORGONA.io (http://GORGONA.io) и получайте самые большие и быстрые ИКСЫ! БЕЗ РИСКА потерять средства! – Title: Re: АУДИТ КОНТРАКТА GORGONA.IO Post by: essencex on September 28, 2018, 10:59:43 AM че реально терь все чисто?
Title: Re: АУДИТ КОНТРАКТА GORGONA.IO Post by: witalikf on September 28, 2018, 05:52:20 PM че реально терь все чисто? Ничего не чисто!Когда перестанут инвестировать,с чего будут идти выплаты и где потом искать админов с этим проектом?Времена океанов возвращаются после амнистии что-ли?Title: Re: АУДИТ КОНТРАКТА GORGONA.IO Post by: Hikkan on October 02, 2018, 01:28:31 PM А можете провести аудит?
https://etherscan.io/address/0x41c23bf53117806ce77ca65003d435c4d944f519#readContract Title: Re: АУДИТ КОНТРАКТА GORGONA.IO Post by: Pimpski on October 18, 2018, 01:10:02 PM О, наконец подробный аудит, спасибо! ::) Но ребята из GORGONA этого и не скрывают, и до появления вашего аудита уже дали развернутый ответ на подобные вопросы в своем официальном телеграм-чате, цитирую: Так как в мире смарт-контрактов очень часто появляются новые методы влияния на другие контракты, и завтра могут появиться любые потенциальные методы нарушения работы нашего смарт-контракта, то мы специально заложили эту функцию для его защиты! Например, чтобы обезопасить наш смарт-контракт от другого вредоносного контракт, который своей неработоспособностью может нарушить работу авто-выплат. Спасибо что проявили бдительность! Также, на днях мы планируем обновить сайт, на котором можно будет видеть информацию по своему депозиту, когда была выплата, когда следующая и прочее. Так что все ок! Я лично зашел, чего и всем советую! Проект хороший, поддержка на уровне, в чате прям формируется целое сообщество! :) А главное – GORGONA надежный проект, который реально платит! А вообще ваш пост больше походит на черный пиар конкурентов >:( Так что ждем обещанный аудит остальных проектов! Жаль вот только 333eth вы не сможете проверить, так как у них закрыт код контракта, и вот там у них в 333eth вероятно действительно что-то очень плохое прячется в контракте! Успехов! ;) Во второй версии проекта все по-другому. Они действуют открыто. У них даже где-то видео аудита есть. А вот и сам код: https://etherscan.io/address/0x215ce36e90b1b64e6fa2e358305177f8fe5daf25#code Title: Re: АУДИТ КОНТРАКТА GORGONA.IO Post by: Marica12 on October 18, 2018, 07:27:00 PM Во второй версии проекта все по-другому. Они действуют открыто. У них даже где-то видео аудита есть. А вот и сам код: https://etherscan.io/address/0x215ce36e90b1b64e6fa2e358305177f8fe5daf25#code Title: Re: АУДИТ КОНТРАКТА GORGONA.IO Post by: CapitanMaks on October 19, 2018, 03:50:46 AM О, наконец подробный аудит, спасибо! ::) Но ребята из GORGONA этого и не скрывают, и до появления вашего аудита уже дали развернутый ответ на подобные вопросы в своем официальном телеграм-чате, цитирую: Так как в мире смарт-контрактов очень часто появляются новые методы влияния на другие контракты, и завтра могут появиться любые потенциальные методы нарушения работы нашего смарт-контракта, то мы специально заложили эту функцию для его защиты! Например, чтобы обезопасить наш смарт-контракт от другого вредоносного контракт, который своей неработоспособностью может нарушить работу авто-выплат. Спасибо что проявили бдительность! Также, на днях мы планируем обновить сайт, на котором можно будет видеть информацию по своему депозиту, когда была выплата, когда следующая и прочее. Так что все ок! Я лично зашел, чего и всем советую! Проект хороший, поддержка на уровне, в чате прям формируется целое сообщество! :) А главное – GORGONA надежный проект, который реально платит! А вообще ваш пост больше походит на черный пиар конкурентов >:( Так что ждем обещанный аудит остальных проектов! Жаль вот только 333eth вы не сможете проверить, так как у них закрыт код контракта, и вот там у них в 333eth вероятно действительно что-то очень плохое прячется в контракте! Успехов! ;) Во второй версии проекта все по-другому. Они действуют открыто. У них даже где-то видео аудита есть. А вот и сам код: https://etherscan.io/address/0x215ce36e90b1b64e6fa2e358305177f8fe5daf25#code А что уже рестарт? :o Title: Re: АУДИТ КОНТРАКТА GORGONA.IO Post by: Marica12 on December 16, 2018, 01:38:57 PM Сторонний аудит - это вообще правильный подход. Как это сделали в ETH Revolution - ethrevolution.io (http://ethrevolution.io) Согласен! Без аудита не вхожу!) |