EDOGE (EtherDoge)

[salvo80]

Ciao,
non so se ne siete già a conoscenza:
EDOGE ha distribuito token con un airdrop alcuni giorni fa, ma il contratto è bacato
https://etherscan.io/address/0x8a7b7b9b2f7d0c63f66171721339705a6188a7d5#code

ci sono delle funzioni che permettono all'owner di bloccare/sbloccare qualsiasi conto
e di trasferire token da un qualsiasi conto ad un altro

gli scammer sono riusciti anche a fare un po' di soldi vendendo dei token su EtherDelta

[lukax8]

da quello che so io sono solo bloccati, se vai a leggere il contratto trovi:

Code:

1.  unlockTimeStamp    1508774400

che convertita:

GMT: Monday, 23 October 2017 16:00:00
Your time zone: lunedì, 23 ottobre 2017 18:00:00 GMT+02:00 DST

https://www.epochconverter.com/

in poche parole fino a quel momento non li potrai spostare

Il dev è stato un vero bastardo perchè in frontpage sul forum aveva inserito una data precedente e moltissime persone (me compreso) hanno bruciato molti gas nel tentativo di depositare su etherdelta

[salvo80]

il vero problema non è l'unlockTimeStamp ma la funzione che permette all'owner di bloccare e sbloccare i conti a proprio piacimento

Code:

 function transfer(address _to, uint _value) returns (bool success) {
    if (now < unlockTimeStamp && !_lockByPass[msg.sender]) return false;
    return super.transfer(_to, _value);
  }

  function transferFrom(address _from, address _to, uint _value) returns (bool success) {
    if (now < unlockTimeStamp && !_lockByPass[_from]) return false;
    return super.transferFrom(_from, _to, _value);
  }

  function setLockByPass(address[] addresses, bool locked) onlyOwner{
    for (uint i = 0; i < addresses.length; i++) {
       _lockByPass[addresses[i]] = locked;
    }
  }

[lukax8]

e come si fa a sapere se il proprio conto è bloccato oppure no? c'è un sistema?

[bdbi]

Come detto sopra il problema è la possibilità che l'owner blocchi i conti.
Le funzioni di trasferimento invece sono le erc20 standard quindi niente di strano su questo.

e come si fa a sapere se il proprio conto è bloccato oppure no? c'è un sistema?

Code:

mapping (address => bool) private _lockByPass;

il mapping dei conti bloccati è privato, quindi non è accessibile agevolmente tramite altri contratti o interfaccia, ma sulla blockhain è comunque tutto disponibile, con un po' di impegno si potrebbe ricavare il valore guardando lo storage.

[lukax8]

@bdbi: ti sei iscritto a bitcointalk solo per spiegarmi questo?

Nel thread principale non è ancora uscito nulla a riguardo...

Qui il dev confermava lo sblocco delle monete per il giorno 16/10 https://bitcointalk.org/index.php?topic=2258341.msg22986554#msg22986554

edit: Trovato questo a riguardo: https://www.reddit.com/r/etherdoge/comments/76qmzt/setlockbypass_in_contract_source/

[bdbi]

Ci dovrebbero essere un altro paio di altri miei interventi nella sezione italiana, meeting e non ricordo dove altro. Non frequento assiduamente il forum comunque e mi sono registrato da poco.  

[rodrigobitcoin]

Come detto sopra il problema è la possibilità che l'owner blocchi i conti.
Le funzioni di trasferimento invece sono le erc20 standard quindi niente di strano su questo.

e come si fa a sapere se il proprio conto è bloccato oppure no? c'è un sistema?

Code:

mapping (address => bool) private _lockByPass;

il mapping dei conti bloccati è privato, quindi non è accessibile agevolmente tramite altri contratti o interfaccia, ma sulla blockhain è comunque tutto disponibile, con un po' di impegno si potrebbe ricavare il valore guardando lo storage.

io non ho mai capito tanto dei token e dei contratti su ethereum, ma è un bug di cosa? di ethereum stesso ? è una cosa che potrebbe capitare in futuro con altri token ?
perchè questi erano gratuiti, ma metti che fanno una ico e usano un bug simile

[lukax8]

è ricambiata la data di sblocco: 1509926400

GMT: Monday, 6 November 2017 00:00:00

[^BuTcH^]

Quindi è meglio usare un nuovo indirizzo eth per ogni airdrop?

[fabioganga]

Quindi è meglio usare un nuovo indirizzo eth per ogni airdrop?

io uso sempre lo stesso indirizzo per tutti gli airdrop, ma man mano che "pumpo e dumpo" me li sposto su un altro indirizzo ETH dove nessuno tranne me è a conoscenza della chiave privata. Etherdelta sarà anche serio, ma non mi fido a lasciare in giro la mia key a NESSUNO.

[bittaitaliana]

Quindi è meglio usare un nuovo indirizzo eth per ogni airdrop?

io uso sempre lo stesso indirizzo per tutti gli airdrop, ma man mano che "pumpo e dumpo" me li sposto su un altro indirizzo ETH dove nessuno tranne me è a conoscenza della chiave privata. Etherdelta sarà anche serio, ma non mi fido a lasciare in giro la mia key a NESSUNO.

ma non bisogna mica dare la priv key a etherdelta, basta che crei nuovo account e gli mandi tutti i token che vuoi vendere e un pò di ethereum per pagare le spese del gas.
io preferisco usare sempre lo stesso indirizzo eth, altrimenti mi confondo

[babo]

Solidity ha qualche baco eh
Un tipo ha fatto un xss con solidity

Bisogna stare attenti, purtroppo certuni sono così avidi che nn fanno attenzione ai segnali