Sushiswap“打錯幣”事件：我想省下Gas費，卻丟了40萬美元_SHI

作者|秦曉峰編輯|Mandy出品|Odaily星球日報

DeFi流動性挖礦爆紅，造富神話當前，之前踏空的老韭菜也按捺不住，紛紛下場。但你永遠不知道，意外和暴富，哪一個會先來。DeFi協議SushiSwap剛運行3天，鎖定資產總價值就已超過7億美元。SushiSwap的邏輯很像Uniswap，也是為提供流動性的用戶提供獎勵，但玩法有一點不同。Uniswap的邏輯是僅在LP提供流動性的時候，才能獲得0.3%的手續費獎勵，一旦Uniswap的LP停止提供流動性，獎勵也隨之停止。為了鼓勵大家使用SUSHI，項目方將SUSHI/ETH這個池子設計為2倍獎勵，據此計算，年化暫時高達9500%。但是幣生幣之前也需要用戶的操作，老“韭菜”玩DeFi，一不小心就踩了坑。SushiSwap運行流動性挖礦的第二天，就出現了用戶錯誤轉幣的情況。8月30日，SushiSwap項目官方人員@ChefNomi發布推特，稱有用戶向其Token智能合約地址轉賬40萬USDT。并且，SushiSwap團隊表示，轉入該智能合約的代幣將無法提取。

SushiSwap Launchpad平臺MISO攻擊者向SushiSwap歸還全部ETH:9月17日消息，據以太坊區塊瀏覽器 Etherscan 顯示，此前攻擊 SushiSwap Launchpad 平臺 MISO 的攻擊者向 SushiSwap 歸還了 865 ETH ，該操作分為三筆交易，第一筆歸還 100ETH，第二筆歸還 700ETH，第三筆歸還 65ETH。

此前報道，SushiSwap Launchpad 平臺 MISO 上 Jay Pegs Auto Mart 項目的 DONA 代幣拍賣遭到攻擊，攻擊者向 MISO 前端插入了惡意代碼，將拍賣錢包地址改為了自己的錢包地址，損失達 865 ETH （約 307 萬美元）。[2021/9/17 23:33:32]

SUSHI跌破7.5美元關口 日內跌幅為34.9%:火幣全球站數據顯示，SUSHI短線下跌，跌破7.5美元關口，現報7.4984美元，日內跌幅達到34.9%，行情波動較大，請做好風險控制。[2021/5/23 22:35:37]

Odaily查詢發現，上述40萬USDT是分兩筆從Gate交易所轉出，時間僅相差一小時。

苦主是Gate交易所實習打幣員嗎？不，是Gate的用戶。8月30日當天，Gate官方第一時間回應稱：此舉為用戶個人操作轉錯。這個用戶是誰？幣乎用戶@冰棒爆料稱，是幣圈自媒體「王團長區塊鏈」創始人王團長。根據@冰棒曬出的截圖，王團長在社交媒體上四處求助，試圖聯系Gate或SushiSwap官方人員，讓官方回滾交易或者直接提取誤轉的代幣。

SushiSwap IDO發行平臺MISO首個產品為代幣化清酒SAKΞ:官方小時，SushiSwap IDO發行平臺MISO首個產品為SAKΞ，SAKΞ是代幣化的清酒，只有888瓶SAKΞ將永遠存在。[2021/5/18 22:14:51]

但SushiSwap官方已經表明態度：回滾是不可能回滾的，這輩子是不可能回滾的，除非Tether耍賴自己回滾。

OKEx于9月1日上線SUSHI，YFV，CVP:據OKEx官方公告，OKEx將上線SUSHI, YFV, CVP，具體時間如下：

1.充值時間：香港時間9月1日 15:00。

2.交易時間：香港時間9月1日 18:00 開放SUSHI/USDT, YFV/USDT, CVP/USDT的市場交易；香港時間9月1日 19:00 開放SUSHI/ETH, YFV/ETH, CVP/ETH的市場交易。

3.提現時間：香港時間9月6日 17:00 SUSHI, YFV, CVP提現 。

由于SUSHI, YFV, CVP項目較新，價格波動較大，為了避免用戶非理性交易，降低用戶風險，每個用戶買入該代幣的限額為20000美金。[2020/9/1]

為什么官方不能直接提幣還給用戶？慢霧安全團隊告訴Odaily星球日報，在分析了SushiSwap代幣合約后發現，該智能合約沒有預留代幣取出接口，用戶誤轉入的代幣，相當于轉到了零地址，永久被鎖死在區塊鏈世界中。“如果項目方保留最高提取權，其實是可以提幣的。但為了去中心化，很多項目取消了最高控制權。因此，也就無法提幣。”BlockArk聯合創始人墨客告訴Odaily星球日報。如果SushiSwap官方真地提取出了代幣還給用戶，相當于直接昭告天下，該智能合約存在后門，項目方可以為所欲為，對于項目而言將是毀滅性的打擊。畢竟，在區塊鏈的世界，Codeislaw。因此，SushiSwap官方也在最開始表明態度：深表遺憾，無能為力。實際上，除了上述的40萬USDT，該還收到了其他用戶失誤轉賬。Odaily星球日報查詢發現，從該項目運行以來，代幣智能合約累計收到8筆轉賬，累計收到40萬USDT、18086個AMPL、1100個SUSHI。

值得注意的是，AMPL的發送方同樣是Gate，另外王團長在公眾號中表示重倉了20萬元的AMPL。因此，這筆錢的苦主大概率也是其本人。相信讀到這里，大多數人都有一個困惑：既然代幣智能合約不能提幣，為什么這么多鐵憨憨會往其中打幣？慢霧安全團隊揭示了其中的奧秘：不懂DeFi玩法+為了省下Gas費。參與流動性挖礦的標準操作是：從交易所提幣到用戶自己錢包地址；打開流動性挖礦項目網站，點擊相應挖礦池，調出智能合約；從網頁錢包授權，向項目的智能合約轉賬。上述過程的第一步和第三部都要用到鏈上轉賬，也就需要用戶支付Gas費用。于是，一些「聰明人」想著，直接省略第一步，從交易所直接向項目智能合約打幣，這也就有了文章開頭的一幕。為什么不能從交易所直接轉賬呢？慢霧安全團隊表示，正常操作流程是使用個人錢包在官方網站進行操作，官方會有一個上層路由合約去執行用戶需要的具體操作(兌換、提供流動性等)；但如果直接打幣進入智能合約，則不會觸發相應操作。“因此建議用戶，在不熟悉具體操作流程的情況下，盡量使用官方的網站進行操作，避免失誤造成資產損失。”最后，Odaily星球日報也想提醒各位有志于成為「農民」的朋友：參與挖礦時候，首選經過代碼安全審計的項目，國內比較有代表性的相關安全團隊有：慢霧、派盾、成都鏈安等；一定要清楚挖礦的流程，懂得公鑰、私鑰等關鍵概念，能夠熟練使用網頁錢包轉賬；挖礦時，不要為了省Gas費，從交易所直接轉賬進入項目，否則資產將會被鎖定且無法取回；最后，一些挖礦項目會在代碼中添加錢包私鑰授權，直接掌握用戶熱錢包。因此，重要資產不要放在網頁錢包中。

Tags：SHISUSHIUSHUSHISHIBGOTCHISUSHIBAAlphaRush AISUSHIBULL幣

芝麻開門交易所