柳半仓
119 posts


奇了怪了,明明就是一个非常明显的彩蛋,难道是我理解错了?网址里crumbs是线索的意思,源码的返回信息直接指向Goku,最终页面返回的信息又是明确的彩蛋伏笔。干啥呢一个个都不感兴趣似的,这是官方网站没假的啊。
赶紧买啊,等着vlad叫你啊?
0x85371626e5aa3f655e2731434c2db88cdd211308
crumbs.robinhood.com/goku/
中文

This is honestly strange. It looks like an extremely obvious Easter egg, so am I really misunderstanding it?
“Crumbs” in the URL clearly means a trail or clue left behind by Robinhood.
The path points directly to Goku.
And the page itself returns a message that clearly hints at leaving a trail to be discovered.
Crumbs → Goku → a hidden clue waiting to be found.
This is an official Robinhood domain, not some random website.
Why does everyone seem so uninterested?
Buy it already. Are you waiting for Vlad to personally tell you?
$GOKU
0x85371626e5aa3f655e2731434c2db88cdd211308
crumbs.robinhood.com/goku/
English

Simple logic:
Robinhood left the crumbs.
The crumbs led to Goku.
Now we buy $GOKU.
Proof:
crumbs.robinhood.com/goku/
CA:
0x85371626e5aa3f655e2731434c2db88cdd211308
English

api.robinhood.com/goku/
自己去看源码,里面有针对goku设置的专项接口,而且你把goku替换成任何字母都不会有结果,这是真·彩蛋。
$GOKU
0x85371626e5aa3f655e2731434c2db88cdd211308

中文


警告:一个高危问题
hook 地址的持久控制权.
通过链上查询,当前的 hook 地址被设置为 0xAC06c01bCdFe299667D28C9d8230A1dB2af46A3E 。
- 后门逻辑 :在 Chirps.sol:L61 中, start 函数带有 onlyHook 修饰符。这意味着 hook 地址拥有随时修改 pool (流动性池)地址的权力 。
- 攻击场景 :即使没有 Owner 权限,控制 hook 地址的开发者只需调用 start(新地址) ,将 pool 指向自己的钱包。此后,从该钱包转出的每一笔代币都会触发 _mintChirps ,从而实现 无限刷取 NFT 或 瘫痪正常交易逻辑 。
- 结论 :只要 hook 合约是开发者部署的,他依然变相拥有对代币核心逻辑的“远程遥控权”。
0x84a508e988e7e4897dfdaf68efdaedeb9c5e5545
SiMaYi@ha_li60704
0x84a508e988e7e4897dfdaf68efdaedeb9c5e5545 安全审计基本过关,有几个小问题 Owner 拥有修改 hook 、 provider 和重置启动状态的绝对权力。鉴于已弃权,这个不算了。 NFT 的外观和属性完全由 Owner 指定的地址决定。这意味着开发者可以随时让所有 NFT 变成“垃圾”或者将极稀有属性定向分配。鉴于已弃权,这个不算了。 合约中有一个 maxBuy 机制 L70-76,初始限制为总量的 0.5%,每秒增加 3%。这个机制DEV已经说了,没问题。 在 _update 函数中 L81-85,代币转移会强制触发 _onTokenTransfer。 如果目标地址被 Owner 标记为 _notMintableAccount(默认为 Owner 自身),则不会产生 NFT。鉴于已弃权,这个不算了。 目前没发现其他的风险,我再仔细查一下。
中文








