昨晚在群里看到一条消息，内容是关于一个中英文介绍的事情。这到底是什么呢？网络上有很多定义，目前通用的定义是这样的：DeFi是Decentralized Finance（去中心化金融）的缩写，也被称为Open Finance。其实质是用来构建开放金融系统的去中心化协议，旨在让任何人随时随地进行金融活动。

在传统金融系统中，金融服务由中央系统控制和调节，无论是基本的存取转账还是贷款或衍生品交易。而DeFi希望通过分布式开源协议建立一个透明、可访问和包容的点对点金融系统，最大程度地减少信任风险，使参与者能够更轻松地获得融资。

几年前，DeFi概念还不存在，但现在已成为区块链行业的热门话题，在短短的时间内引起了广泛关注。它为ETH和ERC20代币之间的自动兑换提供了良好支持。

作者以当下区块链行业热门话题为主题，介绍了如何利用这个事情来割韭菜。很明显，他经过精心思考。

打开教程链接后，作者特别提醒不要使用这种方法进行作弊，因为完全开放源码仅用于研究和测试。教程中提到合约代码可以在链接下载。

根据教程提供的链接，下载代码后可以看到函数和条件判断中的address是硬编码的。在以太坊中，地址长度为20字节，每字节为8位，总共160位。因此，可以用uint160声明地址。以太坊钱包地址以16进制形式表示，一个16进制数字占4位，所以钱包地址ca35b7d915458ef540ade6068dfe2f44e8fa733c长度为40。

攻击者特意使用uint160来编码地址，起到了迷惑作用。如果不仔细观察，可能不会注意到函数中转换后的地址。

通过对地址进行转换可以得知，函数中的地址为合约实际控制账户的地址。

接下来，原文教程介绍了部署合约和添加到资金池的步骤。UniswapV1是一个基于以太坊区块链的去中心化代币兑换服务。它提供ETH和ERC20代币兑换的流动性池，具有去中心化、无需许可和不可停止等特点。

UniswapV1是一种无需订单薄即可交易的去中心化交易所。它不需要用户挂单、不需要需求重叠，可以随时买卖。通过ERC20代币的特性，它也不需要用户将资产存入特定账户。UniswapV1的定价模型非常简洁，核心思想是一个公式x*y=k，其中x和y代表两种资产的数量，k是两种资产数量的乘积。

用户可以部署合约并将其添加到Uniswap的资金池中，提供流动性并获得交易手续费分红。这个过程完全去中心化，不需要审核上币。

合约代码中的关键部分是函数，只有具有合约权限的地址可以进行修改。攻击者可以随时转移合约的权限。

教程中还提到，如果想吸引买家，资金池必须足够大。如果只投入1-2个ETH，其他人将无法购买，因为基金池太小。因此，攻击者希望部署合约的用户在资金池中添加更多ETH。

通过合约代码可以看到，函数中的修改需要合约权限。合约的权限控制在攻击者手中。攻击者可以随时转移合约的权限。

截至目前，攻击者地址已获利约xxx。

总结来说，DeFi的模型创新得到了赞誉，但也因投机者和诈骗者的加入而遭到批评。在业内人士看来，DeFi的自动做市商机制有着特别的价值，但也存在恶意和贪婪。流动性挖矿点燃了DeFi的热火，Uniswap作为去中心化交易所获得了极大的关注。它支持一键兑币和做市分红，成为最炙手可热的DeFi应用之一。

这个事情很容易吸引人们的注意，攻击者利用人们对便宜的贪婪心理。使用所谓的教程一步一步引导用户掉进