解剖 利用去中心化金融(DeFi)收割韭菜的资金盘「玩家盛宴」红包拿去不谢

DeFi爆火，底层原因是，它满足了人们投资获利的需求，并且在区块链上，又可以减少政策监管带来的麻烦，因此一推出，受到了逐利者的欢迎。但是，只要有利益的存在，就会有作恶现象跟随。

1、智能合约上就不会“作恶”了吗？不对，存在withdraw指令，就可以“作恶”！

接下来我们就来找一个典型的去中心化的资金盘项目，来做下和主流DeFi的对比，帮助您擦亮眼睛。

这个去中心化资金盘项目就是“玩家盛宴”

玩家盛宴项目宣传的资金安全，还给小白普及合约账户和外部账户的区别，说自己的是合约账户，只能按照智能合约执行，才可以把币转走。实际上呢。其实合约账户也是有后门的。就是这个withdraw指令。

Withdraw的原意是撤回，只要智能合约里有这个指令，就可能导致黑客的攻击，这种攻击叫做重入漏洞。著名导致以太坊硬分叉（ETH/ETC）的 The DAO 事件就跟重入漏洞有关，该事件导致 60 多万以太坊被盗。还有2018年8月，宣传良久的区块链赌博游戏God.Game合约才创建两天时间，游戏内加入了大量玩家，合约内存储的以太币也增加到了243个，结果短短几分钟时间，黑客利用游戏合约漏洞，也就是盯着这个Withdraw账户，将合约账户的eth洗劫一空。

因此如果在合约里有Withdraw指令，就存项目方监守自盗的风险。

那么玩家盛宴有没有呢？我们来看。

首先要找到该项目的智能合约地址（至于怎么找，有空给进阶型读者教授）

根据以上操作，发现withdraw指令，所以智能合约也可能被项目方或者黑客偷走代币。

2、玩家盛宴的代币是恒定的吗？不，是可以增发的！

ERC20代币是不是真的在发布后及不可更改？

不是所有的区块链项目刚上线都会定一个基调，基调可以定义币的总量恒定或者不恒定，或者后期可以增加等等。关键看合约代码里有没有关键的mint指令。

mint 除了能增发代币，就没别的用了，随便增发个100亿，那会员手里的币就被稀释成空气了。

正规恒定的合约是不存在mint指令的，玩家盛宴却留了明显的后门和漏洞。

只要留有mint后门的币，再宣传去中心化，智能合约保证安全，也绝对不能参与。

玩家盛宴的门票是不安全的，可以被偷走，也可以增发，那以太坊钱包总不能随便挪用吧。那么小白们，我们又要涨见识了。

3、玩家盛宴的ETH也是可以随心所欲被项目方转走！

无论是在游戏合约里，还是在门票合约里，我们都可以在反编译地址（操作同上），找到清晰的偷偷转账代码，管理员Owner有权限一次性转账所有的ETH，就是通过这个隐藏的call指令，只要项目方想跑路，该指令就会触发。

Call是什么意思呢?每个Call指令有7个参数：call(gas,address,value,in,insize,out,outsize)

参数含义如下

Gas代表指定的gas限制，如果不指定该参数，就不会限制；

Address代表接受转账的地址

Value代表转账的金额

In代表call输入指令的数据在memory的起始位置

Insize是输入数据的长度

Out是call指令输出的数据在memory的起始位置

Outsize是call指令输出的数据的长度。

根据这个原则，但凡您懂英语，就能看懂：玩家盛宴是可能一次性转走所有的ETH！

通过上面的代码分析，我们知道，项目方管理员（owner）可以转走所有ETH（this,balance）到指定的地址，而且只要一次触发，就全部提走。

怎么得到以上结论的呢？

1、 代码出现了Owner，这是说明只有项目方管理员才有权限，那就不是普通的点对点交易；

2、 代码出现了this.balance表示能提走所有的ETH，不是提走自己账户的ETH；

3、 两个指令同时出现，极度危险，就是代表项目方有能力可以一次提走所有的ETH。

所以到这，我们已经可以判断玩家盛宴，不存在任何资金安全的保证，按照项目方玩的盘圈思维，你肯定不要指望他们会做善良的人。

那么他们真的是去中心化操作吗？

4、玩家盛宴完全是中心化操控

要得到这个结论，只需要找到玩家盛宴的中心化服务器就好。你要知道比特币就是真正的去中心化，比特币只有新入网的节点发现其他节点的时候需要联系中心服务器，也就是DNS Seeding。从此以后就不再依赖中心服务器了，只要接收网络上传播的新节点上线广播消息就OK了，所以你是无法找到比特币的中心服务器的。

传统中心化项目，后端代码运行在中央服务器上，便于管理者管理，而与之相反，DApp的后端代码运行在去中心化的P2P网络上。所以真正去中心化的DApp是查不到中心服务器的。

我们看看玩家盛宴。

1、DAPP中打开玩家盛宴，拖动到最底下找到“查看我的数据统计”。

2.点击数据统计，点右上角的3个点，出现复制链接，复制链接用电脑浏览器打开；

通过网址就可以看出服务器地址，通过网址前面的IP地址可以查看到服务器是位于新加坡的中心化服务器。

看来这又是一个谎言。

至于后面的100%开源，根据官方提供的Github网址，大家看吧。

玩家盛宴的全部开源代码也就108行？欺负小白。

所以说玩家盛宴不是主流DeFi，它都不是一个靠谱的DApp。

智能合约如何能够实现一个完美的DeFi项目。

技术安全：因为所有的程序都在以太坊上

资金安全：所有的钱都在链上，自动分发

信息安全：不会泄露隐私

提现安全：随时提现秒到

拥有这四个“完全”才是完美的去中心化金融项目。

小白们，记住啦，不是宣称用智能合约的就不会骗你，不是点对点交易的就不会割你，ZJP和主流DeFi(也存在风险)，前者有意作恶害你，后者的风险可能是经营不善，这就是两者的区分。

玩家盛宴的话题，我们就暂告一段落。希望你在主流DeFi中遇到自己的财富盛宴，而不“玩家盛宴”。我是财神 我们 明天见！！