长推:ParaSpace合约检查
注:本文来自@0xjuu_17 推特,其是Hedgue crypto研究主管,原推文内容由MarsBit整理如下:
我花了8个小时,检查了210个合约文件,并对ParaSpace目前所有线上合约做了权限检查,大家看完之后便可以对 @yuboruan 和ParaSpace的用户资金安全情况消除怀疑:
源代码Github: https://github.com/para-space/paraspace-core
1涉及资产权限的合约文件
/apestaking/AutoCompoundApe.sol
管理员权限控制:
onlyPoolAdmin
/apestaking/AutoYieldApe.sol
管理员权限控制:
onlyPoolAdmin
/apestaking/P2PPairStaking.sol
管理员权限控制:
onlyOwner
/misc/ParaSpaceAirDrop.sol
管理员权限控制:
onlyOwner
/protocol/pool/PoolParameters.sol
管理员权限控制:
onlyPoolAdmin
/protocol/tokenization/PToken.sol
管理员权限控制:
onlyPoolAdmin
通过继承受影响:
/protocol/tokenization/DelegationAwarePToken.sol
/protocol/tokenization/PTokenSApe.sol
/protocol/tokenization/PYieldToken.sol
/protocol/tokenization/base/MintableIncentivizedERC721.sol
管理员权限控制:
onlyPoolAdmin
通过继承受影响:
/protocol/tokenization/NToken.sol
2涉及资产权限的接口文件
/interfaces/IPoolParameters.sol
通过继承受影响:
/interfaces/IPool.sol (Section 4展开)
/protocol/pool/PoolParameters.sol (Section 1已列出)
/interfaces/IPToken.sol
通过继承受影响:
/protocol/tokenization/PToken.sol (Section 1已列出)
3涉及资产权限的库文件
/protocol/libraries/logic/PoolLogic.sol
使用受影响合约:
/protocol/pool/PoolParameters.sol
/protocol/tokenization/libraries/MintableERC721Logic.sol
使用受影响合约:
/protocol/tokenization/base/MintableIncentivizedERC721.sol
4存放用户资产的线上合约
P2P Staking:
0xf090Eb4c2B63e7B26E8Bb09e6Fc0cC3A7586263B
权限:
0xca8678d2d273b1913148402aed2E99b085ea3F02 (TimeLockExecutor)
权限穿透:
0xe965198731CDdB2f06e91DD0CDff74b71e4b3714 (Safe多签钱包 4签5)
https://app.safe.global/settings/setup?safe=eth:0xe965198731CDdB2f06e91DD0CDff74b71e4b3714
TimeLockProxy:
0x59B72FdB45B3182c8502cC297167FE4f821f332d
无集权账号可直接提取资产
PToken 的transferUnderlyingTo 和 transferOnLiquidation虽然可以转移资产,但只有 Pool 合约可以调用,其余对IncentivizedERC20的调用均为view只读权限
集权资产提取函数 rescueTokens 权限判断为继承自 IncentivizedERC20 的 onlyPoolAdmin
NToken 的transferUnderlyingTo 和 transferOnLiquidation虽然可以转移资产,但只有 Pool 合约可以调用
集权资产提取函数直接继承自 MintableIncentivizedERC721 的 rescueERC20,权限判断为 onlyPoolAdmin
经检查,列出的PToken/NToken 资产合约的管理权限均来自 ACLManager 远程读取
ACLManager合约地址:
0x42b0C49130162F949e82ba855C4eFF0C3Fd4C5cC
PToken和NToken架构图如下
PToken和NToken高危财产函数传递关系
yubo.eth 对权限有绝对的控制力,并在5个月前将前文提到的Safe多签钱包
0xe965198731CDdB2f06e91DD0CDff74b71e4b3714
设置为了Admin,PoolAdmin和AssetListingAdmin
yubo.eth将ACLManager 的 ADDRESSES_PROVIDER 更改为了多签且 PoolAdmin 设置为了 TimeLockExecutor
https://etherscan.io/tx/0xa511b88029ed090da4480504107a0f11e20758959b6b28ca983a134fc84e642c
Recap:
只要多签钱包
0xe965198731CDdB2f06e91DD0CDff74b71e4b3714
的4把私钥牢牢受 @yuboruan 和公司的控制,便可以保证用户的资产不会受到损失。
我会继续保持跟进此事进展。
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表本站的观点或立场
您可能感兴趣
-
这波牛市,如何寻找 Alpha 收益?作者:Haotian都喊着牛来了,但可否知道这一波寻找市场 Alpha 和 Beta 的方法论完全不一样了,谈几点观察: 一、OnChain OffChain TradiFi 成主线大叙事 稳定币基础
-
875% 涨幅背后:Zora 如何在 Base 上重构内容与价值的闭环?一、市场表现 Coinbase 于 7 月 16 日正式将其 Coinbase Wallet 更名为 Base App,将钱包升级为一个“一站式”社交和支付平台。Base App 集成了 Farcas
-
上轮牛市 NFT 的投资经历有读者在留言区问: 2021年6月为什么突然改变了对无聊猿的看法,然后大胆买入,虽然并不是像加密朋克那样上了重仓,但是也买了5%或者10%的仓位?关键是还拿到了2022年4月无聊猿卖地的时候150E的
-
DeSci 能否解决科研资助的“破窗效应”?原文标题:Science Funding Is Broken. Can Crypto Fix It? 原文作者:Thejaswini M A 原文编译:Saoirse,Foresight News我有
-
7500万攻击50亿美元巨头,他们究竟想干什么?如果说币圈的戏剧性从不缺少故事,那么这一次,主角换成了门罗币(Monero)。 这不是一次突如其来的袭击,而是一场提前一个月就对外放话的、有备而来的算力对决——攻击方甚至提前宣布了「将在 8 月 2
-
日报 | Circle 将推出专注稳定币的 Layer 1 区块链 ARC;Peter Thiel 投资集团收购以太坊财库公司 ETHZilla 7.5% 股份整理:Jerry,ChainCatcher重要资讯:Circle 发布 Q2 财报:USDC 流通量突破 650 亿,同比增长 90% Circle 将推出专注稳定币的 Layer 1 区块链 ARC
-
京东招聘 DeFi 专家:稳定币只是冰山一角,PayFi 才是深海蓝图
一份招聘广告,有时比一份年度财报更能揭示一家公司的战略意图。撰文:Luke,火星财经一份招聘广告,有时比一份年度财报更能揭示一家公司的战略意图。2025 年 8 月,京东科技的一则招聘信息正是如此。它
-
PUMP 反弹超 60%,Group Coins 或成这场 Meme 竞赛的胜负手
PumpFun 正在迅速采取措施试图夺回市场份额。撰文:@insomniac_ac编译:AiddiaoJP,Foresight news背景Pumpfun 与 Solana 竞争对手 LetsBonk
- 成交量排行
- 币种热搜榜
泰达币
比特币
以太坊
USD Coin
Solana
瑞波币
First Digital USD
狗狗币
币安币
CalderaEthena
波场
Sui
莱特币
Wormhole
CFX
EOS
CRV
FIL
ACH
CAKE
XCH
UNI
HT