近日,区块链安全公司PeckShield向链闻透露:多个已经在主流交易所上线的ERC20币种的智能合约代码存在严重的安全隐患,「攻击者」可通过公开的接口,以「零成本」技术手段实施割韭菜套利行为。
PeckShield调查发现,目前已知有700多个ERC20币种存在此类问题。我们已经证实了至少有数十个币种已经在包括币安、火币以及OKex在内的主流交易所公开上线交易,且交易量巨大。其中最大币种市值已达1.5亿美金,全部币种共影响波及数十万投资者。
众所周知,交易所控着着数字货币资产的流进和流出,作为一个数字资产中转枢纽,交易所自诞生以来漏洞和安全事件就层出不穷,数年来,围绕交易所出现的黑客攻击事件,已造成超百亿美元的损失。然而,这仅仅是明面上技术漏洞诱发的黑客攻击事件,幕后还有借助智能合约代码漏洞实施操纵币价展开不公平套利行为。
某巨鲸通过多个地址从币安、OKX等交易所提取360万枚MASK:金色财经报道,Lookonchain监测数据显示,一个巨鲸通过多个地址从币安、OKX、KuCoin和Huobi提取约360万枚MASK(约1480万美元)。MASK代币价格今天从3.27美元上涨到4.16美元,涨幅达27%。
据统计,0xEf7C开头地址历史上的MASK转入大多会导致MASK的价格上涨,转出会导致MASK价格的下降。
该地址从Upbit提取0.5 ETH作为Gas费,并且是Upbit的用户。Upbit宣布今天将开放MASK现货交易。该地址也许会将MASK转到Upbit出售。[2023/3/7 12:46:53]
PeckShield研究大量智能合约代码发现,攻击者可使用如下两种技术手段来操纵币价:
安全问题一:项目owner可无限增发Token
慢雾MistTrack:Superfluid被盗超1300万美元,涉及多个币种:据官方消息,Superfluid上的QI Vesting合约已被利用。据慢雾MistTrack统计,攻击者地址(0x157...090 )获利超1300万美金,包括QI、WETH、USDC、SDT、MOCA、STACK、sdam3CRV、MATIC币种。
据分析,攻击者通过1inch将部分QI、USDC、SDT、MOCA、STACK换为ETH;将39,357.25 sdam3CRV换为43,910.09 amDAI。目前攻击者地址(0x157...090 )余额为:11,016.60 MATIC、507,930.87 MOCA、2,707.91 ETH、43,910.39 DAI。
慢雾将持续监控被盗资金的转移,拉黑攻击者控制的所有钱包地址,同时提醒交易所、钱包注意加强地址监控,避免相关恶意资金流入平台。[2022/2/8 9:38:27]
存在问题的ERC20币种智能合约有一个仅owner可调用的方法:mintToken,这个可被owner用于增发token。通常一个项目在上交易所之前即预售期,增发行为尚算合理,项目方定向空投一些Token给特定地址,目的是为了激励社区用户参与活跃度。但在交易所上线可正常交易后,此种借助智能合约的增发行为会让项目owner空手套利,会严重影响市场平衡。
NBTC陆续开启多个落地应用:据官方消息,NBTC陆续开启多个落地应用,未来将拓展借贷挖矿类DeFi产品、去中心化交易所产品、DeFi+NFT交易产品,构建覆盖波场DeFi生态的去中心化借贷、兑换、交易等多维领域,为DeFi领域的资金融通提供基础动力,为去中心化金融提供更具开放性、安全性配置关键性基础设置。同时,NBTC充分发挥社区治理功能,全球社区超过1000,社区将全面共享DeFi红利。最终NBTC将部署多链跨链机制,实现用户资产跨链交互。[2021/5/10 21:43:21]
图一:受影响智能合约存在的mintToken问题
糟糕的是,我们已经发现有10余种存在此类问题的可交易Token,他们存在于23个包括Binance和OKex这样的顶级交易所,且目前交易量巨大,一旦被利用可以影响数以万计的投资者。
声音 | 微众银行副行长:银行可通过区块链技术快速建链合作,提高多个合作方的连接效率:《中国金融》2019年第21期刊发微众银行副行长兼首席信息官马智涛的文章《积极应对开放银行的挑战》。文章表示,银行可通过前沿区块链技术,快速建链合作,提高多个合作方的连接效率。目前,微众银行联合金链盟其他多家机构共同开发的FISCO BCOS联盟链开源平台已实现了“群组架构”功能。在某一类业务的生态中,因具体合作方不同,往往存在多个不同的区块链账本,该功能则允许各参与方根据业务关系需要,快速选择加入对应账本的数据共享和共识过程,使得建链合作像建聊天群一样简单快捷,大幅提升连接效率。同时,各参与方可通过联盟链真正实现对等、透明地合作,权益、隐私、安全都得到保障,合作过程中的信任成本和运营管理成本也大大降低。[2019/11/13]
以下为披露此信息时,我们已经发现的10个存在此问题的Token。
安全问题二:可操纵的价格和不公平的套利行为
存在问题的ERC20币种的智能合约有三个可调用方法:
1)setPrices:仅owner可访问,用来调整通过方法buy以及sell进行的token的买卖价格(即buyPrice/sellPrice);
2)buy:公开且任意可访问方法,根据buyPrice购买token;
3)sell:公开且任意可访问方法,根据sellPrice购买token。
为描述方便起见,我们将buyPrice/sellPrice称之为owner可操纵价格,并将token在交易所的价格称为市场价格。
图二:可操纵和利用的智能合约接口
按理说,一个币种上交易所后,交易走量都需要通过交易平台,成交时的买卖价格也是和市场保持同步的。然而,我们在图二代码中发现,项目owner可以通过智能合约任意修改买入价和卖出价,完全不需要依照市场价格。这样以来「套利」空间就有了,套利者可以在Token市场价格略高通过接口定一个较低的买入价,然后再以市场价格卖出,套利者还可以用市场价格买入Token,再设定一个比市场价格高的价格卖出。不管怎样,这是一种干涉市场对流通Token「定价权」的行为,严重点讲已经控制了市场,对市场上其他投资者而言存在极大的不公平。
以下为披露信息时,我们已经发现的9个存在此问题的Token。
截至目前为止,已发现9个可交易的token,在26个交易所上线交易。其中如SUB、INT和SWFTC等token都在主流的交易所上线并拥有巨大的交易量和影响力。
其它安全问题
我们进一步研究发现,如图三和图四,sell或buy方法中存在整数溢出漏洞,项目owner在布局第二种套利行为的时候,可以设计一个套利陷阱,owner能够利用该漏洞损害普通用户应得的收益。
图三:受影响的买方智能合约类别
图四:受影响的卖方智能合约类别
通常来讲,传统股票证券市场存在这样的「割韭菜」套路,幕后大庄通过周期性低拉高抛来制造市场震荡来收割韭菜,利用的是不少散户投资者盲目追涨杀跌的心理。大多数情况下,数字货币市场的大部分割韭菜行为也是基于此市场化操盘来实现。我们最新发现的此种借助智能合约漏洞割韭菜的方式,不经过市场,以技术手段进行零成本收割,对数字货币市场的稳定性威胁极大。
6月9日,PeckShield发现了上述安全隐患,在评估了安全威胁之后第一时间通知了相关交易所,希望携手交易所来共同预防危机的发生。不少交易所(如币安)和项目方(如Substratum,即SUB)在得到通报后已积极做出了响应。详情请参见:https://peckshield.com/2018/06/11/tradeTrap。通过此次更详细的漏洞披露,我们可以看到安全漏洞背后的技术细节,也认识到此类安全问题存在的危害性,希望个多的交易所和项目方能够和我们通力合作,一同提高智能合约生态系统的安全性。
本文来源于非小号媒体平台:
链闻ChainNews
现已在非小号资讯平台发布1篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/3626877.html
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
下一篇:
EOS主网上线为何难产?具体进展如何?
标签:TOKTOKEKENTOKENimtokenAPP下载不了WSW TokenGenshin Impact TokenJUS Token
2019年3月14日00:00:00至3月21日23:59:59。期间,参与交易SHK-USDT的用户将按活动期间个人shook交易量排名,排在前10名的用户可以获得大赛奖励.
1900/1/1 0:00:00据和讯网消息,跨境业务区块链服务平台试点在陕西落地,出口应收账款融资业务在招商银行西安分行办理两单业务.
1900/1/1 0:00:00长线看好btc,祝大家520节日快乐!本文完全代表叮当单向主观分析,仅供参考,投资有风险,请控制好仓位和止损.
1900/1/1 0:00:00近日,猎聘发布《2019年中国电竞行业中高端人才吸引力报告》。根据猎聘大数据显示,2018年1月-2019年4月电竞行业中高端人才平均年薪为29.02万元,远高于全行业平均年薪(20.22万元).
1900/1/1 0:00:0032岁的IT从业者JamesHowells近期成为了一个全职的加密货币投资者。他在接受采访时透露其在2009年丢失了现价超过6000万美元的比特币,并且到现在都没能找回这笔钱.
1900/1/1 0:00:00尊敬的BITKER用户:BITKER将于2019年4月16日16点正式开放KLN/USDT;KLN/BTC交易对。KLN首先在现实商品生产中从虚拟空间技术向现实商品生产技术进行了转变.
1900/1/1 0:00:00