АУДИТ КОНТРАКТА GORGONA.IO

[yanarod]

Добрый день, я являюсь разработчиком контрактов на Solidity уже более года.
Ко мне обратился знакомый с просьбой аудита контракта по адресу
0x4a5fc826441a16b86aa850b3ddc4b1bc02f21b6c
На сколько я понял это gorgona.io

Я провел аудит данного контракта и тут постараюсь изложить то, что я нашел.

Объяснение, прочитайте ВНИМАТЕЛЬНО
(код ОБЯЗАТЕЛЬНО смотрите на etherscan.io, на github можно выкладывать измененную версию)

1. На сайте ребята заявляют, что контракт с функцией "отказа от владения".
На деле это не так.

У контракта есть владелец и это есть в коде:

Code:

// 38 строка
owner = msg.sender;  

Это строка обозначает что контракт хранит адрес владельца в переменной owner.

Сама по себе это строчка ничего губительного не делает, пока она только подтверждает что это контракт БЕЗ "отказа от владения" и ребята врут.

2. Как контракт расчитывает прибыль?

Code:

// 177 - 180 строки
function getInvestorUnPaidAmount(address addr) public view returns (uint)
{
     return (((investors[addr].deposit / 100) * INTEREST) / 100) * ((now - investors[addr].date) * 100) / 1 days;
}

Упрощенная суть строчки такая: взять значение депозита и посчитать начисленный процент учитывая разницу во времени, она считается вот этим отрывком кода

Code:

(now - investors[addr].date)

Дословно читать ее как "сейчас минус дата последнего вывода средств"

3. А теперь фокус: ВЛАДЕЛЕЦ КОНТРАКТА МОЖЕТ ПОМЕНЯТЬ ДАТУ ВЫВОДА СРЕДСТВ У ЛЮБОГО УЧАСТНИКА

Вот эта часть кода:

Code:

// 167 - 170 строки
function setDatePayout(address addr, uint date) onlyOwner public
{
    investors[addr].date = date;
}

Дословно читать как:
Назначить ПРОИЗВОЛЬНУЮ дату вывода средсв (uint date) для любого инвестора (addr) и сделать это может только ВЛАДЕЛЕЦ (onlyOwner)

Из этого схема вывода:
Владалец контракта может с любого адреса закинуть, например 10 ETH
Далее вызывать setDatePayout и назначить дату вывода открученную на 1 ГОД назад, контракт это примет за правду, т.к. в коде нет защиты от такого сценария.
Теперь выплаты на этот адрес составят 365 дней * 3 процента = 1095%, т.е. более чем 100 ETH

Результат: вывод всей кассы ВОЗМОЖЕН владельцем контракта


Я крайне не рекомендую вкладыватся в подобные проекты.
На этой неделе у меня есть свободное время, я постараюсь сделать аудиты других контрактов.

Как приятный бонус могу сказать что через указанный выше метод можно так же блокировать выплаты любым инвесторам.

[1685950399]

1685950399

[1685950399]

1685950399

[1685950399]

1685950399

[1685950399]

1685950399

[1685950399]

1685950399

[FlooMeer]

О, наконец подробный аудит, спасибо! Но ребята из GORGONA этого и не скрывают, и до появления вашего аудита уже дали развернутый ответ на подобные вопросы в своем официальном телеграм-чате, цитирую:

Так как в мире смарт-контрактов очень часто появляются новые методы влияния на другие контракты, и завтра могут появиться любые потенциальные методы нарушения работы нашего смарт-контракта, то мы специально заложили эту функцию для его защиты!

Например, чтобы обезопасить наш смарт-контракт от другого вредоносного контракт, который своей неработоспособностью может нарушить работу авто-выплат.

Спасибо что проявили бдительность!
Также, на днях мы планируем обновить сайт, на котором можно будет видеть информацию по своему депозиту, когда была выплата, когда следующая и прочее.

Так что все ок! Я лично зашел, чего и всем советую! Проект хороший, поддержка на уровне, в чате прям формируется целое сообщество!

А главное – GORGONA надежный проект, который реально платит!

А вообще ваш пост больше походит на черный пиар конкурентов    Так что ждем обещанный аудит остальных проектов! Жаль вот только 333eth вы не сможете проверить, так как у них закрыт код контракта, и вот там у них в 333eth вероятно действительно что-то очень плохое прячется в контракте!

Успехов!

[yanarod]

О, наконец подробный аудит, спасибо! Но ребята из GORGONA этого и не скрывают, и до появления вашего аудита уже дали развернутый ответ на подобные вопросы в своем официальном телеграм-чате, цитирую:

Так как в мире смарт-контрактов очень часто появляются новые методы влияния на другие контракты, и завтра могут появиться любые потенциальные методы нарушения работы нашего смарт-контракта, то мы специально заложили эту функцию для его защиты!

Например, чтобы обезопасить наш смарт-контракт от другого вредоносного контракт, который своей неработоспособностью может нарушить работу авто-выплат.

Спасибо что проявили бдительность!
Также, на днях мы планируем обновить сайт, на котором можно будет видеть информацию по своему депозиту, когда была выплата, когда следующая и прочее.

Так что все ок! Я лично зашел, чего и всем советую! Проект хороший, поддержка на уровне, в чате прям формируется целое сообщество!

А главное – GORGONA надежный проект, который реально платит!

А вообще ваш пост больше походит на черный пиар конкурентов    Так что ждем обещанный аудит остальных проектов! Жаль вот только 333eth вы не сможете проверить, так как у них закрыт код контракта, и вот там у них в 333eth вероятно действительно что-то очень плохое прячется в контракте!

Успехов!

Оправдание "мы добавили вывод всей кассы, что бы было безопаснее" (gorgona) звучит так-же как и "мы скрыли код, что бы его не украли" (333eth)

Т.к. вы является автором англоязычного поста горгоны, не удивительно, что вы пытаетесь обелить скамный проект.

Аудит другого контракта я готов провести хоть сегодня, мне, в отличие от вас, от этого ни жарко, ни холодно.
Напишите какие проекты вы хотите что бы я проверил.

[FlooMeer]

О, наконец подробный аудит, спасибо! Но ребята из GORGONA этого и не скрывают, и до появления вашего аудита уже дали развернутый ответ на подобные вопросы в своем официальном телеграм-чате, цитирую:

Так как в мире смарт-контрактов очень часто появляются новые методы влияния на другие контракты, и завтра могут появиться любые потенциальные методы нарушения работы нашего смарт-контракта, то мы специально заложили эту функцию для его защиты!

Например, чтобы обезопасить наш смарт-контракт от другого вредоносного контракт, который своей неработоспособностью может нарушить работу авто-выплат.

Спасибо что проявили бдительность!
Также, на днях мы планируем обновить сайт, на котором можно будет видеть информацию по своему депозиту, когда была выплата, когда следующая и прочее.

Так что все ок! Я лично зашел, чего и всем советую! Проект хороший, поддержка на уровне, в чате прям формируется целое сообщество!

А главное – GORGONA надежный проект, который реально платит!

А вообще ваш пост больше походит на черный пиар конкурентов    Так что ждем обещанный аудит остальных проектов! Жаль вот только 333eth вы не сможете проверить, так как у них закрыт код контракта, и вот там у них в 333eth вероятно действительно что-то очень плохое прячется в контракте!

Успехов!

Оправдание "мы добавили вывод всей кассы, что бы было безопаснее" (gorgona) звучит так-же как и "мы скрыли код, что бы его не украли" (333eth)

Т.к. вы является автором англоязычного поста горгоны, не удивительно, что вы пытаетесь обелить скамный проект.

Аудит другого контракта я готов провести хоть сегодня, мне, в отличие от вас, от этого ни жарко, ни холодно.
Напишите какие проекты вы хотите что бы я проверил.

Да, я делал тему в английской ветке, потому что сам вложился в проект и верь в него!

[arrow174]

ВОТ О ЧЕМ Я И ГОВОРИЛ!!! GORGONA это СКАМ! и те кто туда залил свой эфир будут всеми правдами и не правдами пытаться залить в уши чушь, чтобы хомяки пополняли, а потом побреют и их и хомяков)

[tristable]

А не затруднит сделать аудит нашего контракта?
У нас нет комиссии и контракт на 20 строчек!
https://etherscan.io/address/0x7b307c1f0039f5d38770e15f8043b3dd26da5e8f

Проверьте, пожалуйста, этот контракт, выглядит лучше других и реально там всего 10 строк кода.

[FlooMeer]

Из официального Телеграм-канала проекта GORGONA.io

⚠️ВНИМАНИЕ, важная информация! ⚠️

Дорогие инвесторы, у нас хорошие новости!

Вероятно вы знаете, что некоторая функция нашего смарт-контракта определенным людям не понравилась, а именно – возможность сместить дату последней выплаты у инвестора администратором проекта.

Эта функция была оставлена для реагирования на возможные хаки и взломы, и никогда не планировалась использоваться как-то иначе. Об этом администрация заявляет публично, прямо и с полной уверенностью!

Но к сожалению, другие конкурентные проекты решили использовать этот аргумент как средство для низкого и черного пиара.

И вот теперь, когда проект GORGONA уже привлек без малого 100ETH инвестиций, мы решили доказать вам, что мы никогда не планировали использовать данную функцию для вывода средств, и создали новый смарт-контракт в которой данной функции не будет!

Все средства будут перемещены на новый контракт (используя данную функцию).
Все данные о ваших инвестициях будут сохранены! Выплаты будут продолжаться и дальше, как-будто это прежний смарт-контракт.

Мы считаем, что абсолютная честность и открытость с нашими инвесторами залог успеха!

И так, теперь новый контракт будет обладать следующим:

– Отказ от владения: У контракта не будет владельца, смотрите графу Owner на Etherscan, там должно стоят 0х000000000000000000. Это значит, что владеет контрактом нулевой (несуществующий) адрес.

– Исправлена потенциальная проблема, когда инвестором является зловредный контракт.

– Убрана возможность менять дату последней выплаты у инвесторов.

А также мы добавили супер-функцию: Убийца Горгоны!

Теперь вы сможете положить Горгону на лопатки! Станьте самым крупным инвестором, и заставьте Горгону выплачивать вам реферальские отчисления ото всех инвесторов, кто пришел без рефера!

Если ваш депозит самый большой, то вы будете получать 3% от всех депозитов инвесторов, которые не имеют реферала до тех пор, пока кто-то другой не перебьет ваш депозит!

Будьте победителем, заставьте Горгону платить вам!

Также, мы обновили сайт! Мы добавили следующие функции:

– Личный кабинет. Теперь вы можете получить информацию о депозитах, выплатах, реферальских и прочую важную и полезную информацию.

– Возможность заказать выплату прямо с сайта!

– Информация по текущему Убийце Горгоны!

Но и это не все!

Мы изменили контракт на случай когда закончатся деньги для выплат. В этом случае Горгона перезапустится!

Да, будет классический рестарт, все оставшиеся средства будут пущены на выплаты в следующем раунде!

Теперь Горгона будет платить пожизненно, без вариантов!

Данное обновление планируем завершить уже завтра, 15 сентября 2018 года!

Следите за новостями и оставайтесь с самым честным, прибыльным и надежным смарт-контрактом с открытым исходным кодом – GORGONA.io

_

[FlooMeer]

Из официального Телеграм-канала проекта GORGONA.io

⚠️| ВНИМАНИЕ – важная информация! | ⚠️

Дорогие наши инвесторы! Как мы и обещали, сегодня мы выполнили замену нашего смарт-контракта на новый, без функции смены времени и с 100% отказом от владения авторами!

Встречайте новый смарт-контракт – https://etherscan.io/address/0x020e1...C64C513ffCBdec

Все ваши вклады и выплаты автоматически перенеслись на новый контракт, все будет работать в штатном режиме – как и раньше вы будете получать свои выплаты по расписанию (соответственно реинвест нужно будет делать уже на новый контракт).

А также мы выполнили большое обновления сайта, о котором ранее обещали, встречайте – GORGONA.io/ru 🚀🚀🚀

_

[BCprofit]

Доброго дня.) Не затруднит Вас сделать аудит нашего контракта публично?

0xDf1f0c982E6574c4B89eC49E2636aBd9a25a3126

[Mamontik43]

Доброго дня.) Не затруднит Вас сделать аудит нашего контракта публично?

0xDf1f0c982E6574c4B89eC49E2636aBd9a25a3126

на 450 строк, ну думаю публично никто не сделает аудит

[DeZZZ]

ясное дело что лохотрон, хайпы переобуваются в ногу со временем ) теперь админчикам мало знать фронтэнд, без солидити сложновато будет

[FlooMeer]

Из официального телеграм-канала проекта:

Независимый аудит смарт-контракта GORGONA.io: https://www.youtube.com/watch?v=lrQ4gcE_sWw

–––––
Выводы авторов аудита:

Мы не нашли:
- бекдоров для администратора
- багов для препятствия работы проекта
- багов для кражи средств из проекта

Нашли:
- возможность инвесторам объединяться в пулы через смарт-контракты, чтобы стать GargonaKiller и получать по 3% с каждого пополнения от участников у которых нет реферера.
–––––

Дорогие инвесторы, теперь вы можете быть уверены на 100%, что GORGONA.io самый надежный, прозрачный и честный проект!

Смело вкладывайтесь в GORGONA.io и получайте самые большие и быстрые ИКСЫ! БЕЗ РИСКА потерять средства!

–

[essencex]

че реально терь все чисто?

[witalikf]

че реально терь все чисто?

Ничего не чисто!Когда перестанут инвестировать,с чего будут идти выплаты и где потом искать админов с этим проектом?Времена океанов возвращаются после амнистии что-ли?

[Hikkan]

А можете провести аудит?
 https://etherscan.io/address/0x41c23bf53117806ce77ca65003d435c4d944f519#readContract

[Pimpski]

О, наконец подробный аудит, спасибо! Но ребята из GORGONA этого и не скрывают, и до появления вашего аудита уже дали развернутый ответ на подобные вопросы в своем официальном телеграм-чате, цитирую:

Так как в мире смарт-контрактов очень часто появляются новые методы влияния на другие контракты, и завтра могут появиться любые потенциальные методы нарушения работы нашего смарт-контракта, то мы специально заложили эту функцию для его защиты!

Например, чтобы обезопасить наш смарт-контракт от другого вредоносного контракт, который своей неработоспособностью может нарушить работу авто-выплат.

Спасибо что проявили бдительность!
Также, на днях мы планируем обновить сайт, на котором можно будет видеть информацию по своему депозиту, когда была выплата, когда следующая и прочее.

Так что все ок! Я лично зашел, чего и всем советую! Проект хороший, поддержка на уровне, в чате прям формируется целое сообщество!

А главное – GORGONA надежный проект, который реально платит!

А вообще ваш пост больше походит на черный пиар конкурентов    Так что ждем обещанный аудит остальных проектов! Жаль вот только 333eth вы не сможете проверить, так как у них закрыт код контракта, и вот там у них в 333eth вероятно действительно что-то очень плохое прячется в контракте!

Успехов!

Во второй версии проекта все по-другому. Они действуют открыто. У них даже где-то видео аудита есть. А вот и сам код:  https://etherscan.io/address/0x215ce36e90b1b64e6fa2e358305177f8fe5daf25#code

[Marica12]

Во второй версии проекта все по-другому. Они действуют открыто. У них даже где-то видео аудита есть. А вот и сам код:  https://etherscan.io/address/0x215ce36e90b1b64e6fa2e358305177f8fe5daf25#code

Ну, в этот раз они начали с открытого кода, это серьезный плюс проекту, в тот раз их все ругали за закрытый конктракт, теперь все чисто, не придраться)

[CapitanMaks]

О, наконец подробный аудит, спасибо! Но ребята из GORGONA этого и не скрывают, и до появления вашего аудита уже дали развернутый ответ на подобные вопросы в своем официальном телеграм-чате, цитирую:

Так как в мире смарт-контрактов очень часто появляются новые методы влияния на другие контракты, и завтра могут появиться любые потенциальные методы нарушения работы нашего смарт-контракта, то мы специально заложили эту функцию для его защиты!

Например, чтобы обезопасить наш смарт-контракт от другого вредоносного контракт, который своей неработоспособностью может нарушить работу авто-выплат.

Спасибо что проявили бдительность!
Также, на днях мы планируем обновить сайт, на котором можно будет видеть информацию по своему депозиту, когда была выплата, когда следующая и прочее.

Так что все ок! Я лично зашел, чего и всем советую! Проект хороший, поддержка на уровне, в чате прям формируется целое сообщество!

А главное – GORGONA надежный проект, который реально платит!

А вообще ваш пост больше походит на черный пиар конкурентов    Так что ждем обещанный аудит остальных проектов! Жаль вот только 333eth вы не сможете проверить, так как у них закрыт код контракта, и вот там у них в 333eth вероятно действительно что-то очень плохое прячется в контракте!

Успехов!

Во второй версии проекта все по-другому. Они действуют открыто. У них даже где-то видео аудита есть. А вот и сам код:  https://etherscan.io/address/0x215ce36e90b1b64e6fa2e358305177f8fe5daf25#code

А что уже рестарт?

[Marica12]

Сторонний аудит - это вообще правильный подход. Как это сделали в ETH Revolution - ethrevolution.io

Согласен! Без аудита не вхожу!)