如何判断发生在加密或区块链项目上的所谓“HACK”是否合法，或者它是否只是一种隐藏 RUG 的机制？

显然，在 MtGox 或 QuadrigaCX 或类似案例发生后，创始人声称他们丢失了持有交易所大部分数字资产的私钥，同时消失或后来被发现死亡，加密领域的人们在听到一个hack 一个项目，第一个想到的是创始人基本上已经清空了资金并带着它跑了，这就是通常所说的 RUG。

在许多项目中可能都是这种情况，但不一定在所有项目中都是如此，所以今天我们正在研究一个案例，由于情况的性质，我们认为这是一个真正的黑客攻击。

我们认为这是一个值得分析的案例，因为它有助于更​​好地理解安全和审计在智能合约或区块链相关项目中的重要性。

我们将客观地分析 RING Financial 项目发生的戏剧性事件，RING Financial 项目是在 BSC（币安区块链）上推出的代币。

在进入hack之前，我们先总结一下之前的项目和它的情况：

黑客攻击前的 RING Financial

RING financial 是一个 DeFi 项目，旨在让 DeFi 和加密社区更容易访问 DeFi。 一个雄心勃勃的项目，想要创建一个由节点持有者管理的节点收益协议，并同时将流动性分配给 300 多个协议。 目的是通过一个 RING 节点和 RING Dapp 访问所有协议。

这些协议由团队验证，然后社区将投票决定将它们分配到哪里。 与 DAO 中的投票概念相同，这使得 RING 非常有吸引力。

RING Financial 还大大简化了单个节点持有者的研究过程和部署过程。 一个 Dapp 可以访问所有其他 Dapp，因此您只需要一个接口，而不是 300 个具有自己的访问权限和自己的节点的不同接口。

最后，RING Financial 的目标是降低部署不同协议的费用，随着交易量的增加，个人持有者的交易费用降低，这是该项目的主要卖点之一。 一个具有天赋和雄心的项目，旨在让社区的事情变得更容易，甚至让那些不了解 Defi 的人更加主流。

然而，天赋和野心并不总是足够的，你需要专业知识和知识，这在新的和不成熟的市场中是罕见的，这就是为什么 RING Financial 无法完全兑现其承诺。

那么 RING Financial 究竟发生了什么？ 为什么它会被黑客入侵？ 多亏了区块链，我们拥有了深入研究并查看漏洞所在以及原因所需的所有取证证据 RING Financial不是骗局.

RING Financial HACK 发生在 UTC 时间 5 年 2021 月 2 日下午 01:2 到 06:XNUMX 之间。

是的，一切都发生在 5 分钟内！ 多亏了这些细节的区块链扫描器，顺便说一句，我们在与 HACK 相关的交易链接下方为您提供了这些链接，以及那些想要更详细搜索的人的合同地址。

以下是解释攻击者利用的漏洞的摘要：

您必须了解 RING Financial 的智能合约由几部分组成，一部分用于代币及其相关的所有数据，另一部分用于与节点和奖励的会计相关的所有内容。 令牌部分具有安全性，因此只有合同管理员才能修改此部分的重要数据，向您展示一些代码，这是通过属性“onlyOwner”保护的合同功能的标题其中规定该功能只能由管理员执行：

一个没有的函数 只有所有者 属性（或保护函数访问的等效属性）几乎可以由任何人执行。

现在，你猜怎么着？ 节点和奖励部分的函数没有这个属性，你可以通过查看下面的函数名称看到（ 只有所有者 缺少属性）：

并且正如你所想象的那样，黑客利用并骗取了这个漏洞，在 RING 中获得了指数级的奖励，然后将它们倾倒在流动性池中，并在几分钟内几乎暴力清空。 因此，他实施了他的骗局。

现在你可能会问自己两个问题：

开发商怎么能留下这样的漏洞呢？

在与 Solidity 开发人员（用于在以太坊上编写智能合约的语言）交谈后，这是一个与两个智能合约之间的角色继承相关的错误，继承是编程语言的一种概念，为了不让你头疼，我们会停留在简单的话：基本上，很有可能编写合约的人认为Node部分的功能继承了Token部分功能的安全角色，但不幸的是在Solidity中并非如此，并且有必要重新定义每个合同的每个功能的角色，无论它们的链接是什么。 所以我们在这一点上的结论是，开发人员不是专家，他可能没有花时间再次阅读就发布了合同，可能是匆忙。

你怎么知道这个漏洞不是开发者自己故意留下的，不是骗局呢？

非常好的反对意见，当您不确定如何进行时，很容易假设一个骗局 聪明的合同 工作，但实际上很容易假设开发人员是清白的，因为他于 19 年 2021 月 XNUMX 日在 BSCSCAN.COM（币安区块链最受欢迎的扫描仪）上公开发布并验证了智能合约的全部代码，即也就是说，RING Financial HACK 发生前两周多。 而且正如之前所解释的那样，这个缺陷是用黑底白字写在合同中的，任何有经验的开发人员都会注意到它并做出反应，但不幸的是，第一个毫不留情。 因此很明显，开发人员并没有意识到这个缺陷，因为他不会冒险让任何人随时杀死 RING Financial 项目。

回到 RING Financial HACK 的继续，开发人员意识到自己的错误并简单地冻结了合约以停止任何奖励分配，这样攻击者就不会完全清空矿池。 然后他重新部署了一个 Node 合约，这次带有安全属性“onlyOwner”。 这个新的节点合约能够正确处理新的奖励分配，只是为时已晚，因为由于 HACK，项目和团队失去了所有信任，销售压力杀死并结束了代币和该项目。

总而言之，我们选择这个故事是因为它展示了关于智能合约和加密项目的两件重要事情，永远不要仓促编写合约并始终联系审计公司，因为一旦黑客攻击发生，挽救船只就为时已晚，并且RING Financial 项目就是一个很好的例子，此外，根据他们的沟通，他们已经为第二个节点合同联系了审计公司，并且在确定其安全性之前没有将其公开发布在 BSCSCAN 上。 但正如之前所说，对 RING Financial 来说为时已晚，损失已经无法挽回。

以下是扫描仪的所有链接和合约地址：

钱包执行黑客攻击交易：0xfe58c9e2ecb95757be6f4bca33162cfa346cc34f

 Ring smart-contract address: 0x521ef54063148e5f15f18b9631426175cee23de2

Ring reward pool address: 0xa46cc87eca075c5ae387b86867aa3ee4cb397372

 交易黑客利用：

 TRX 1

    link: https://bscscan.com/tx/0x596d38494ea5ae640b2a556a7029692928f15713d22b5948477c4eb4a92cf68e

TRX 2

    link: https://bscscan.com/tx/0xfc890c855709bb6aeb5177ee31e08751561344402a88af13e7dfd02b9a2f6003

TRX 3

    link: https://bscscan.com/tx/0x35c2f1ed9c5ce13a714af6c0dcbbce8fe720f7d6212232b6dd3657d8799a10f1

• SEO 支持的内容和 PR 分发。 今天得到放大。
• 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
• Sumber: https://www.fintechnews.org/how-to-judge-if-a-so-called-hack-that-happened-to-a-crypto-or-blockchain-project-is-legit-or-if-its-just-a-mechanism-to-hide-a-rug/