TOK:智能合约后门揭秘：盗币的不只是黑客，“一键发币”平台暗藏后门

相信各位朋友对代币领域的“增发”这个概念已经不会陌生，比如泰达近期便在以太坊上频繁增发ERC20标准的USDT，由于这是一种增加代币流通量的行为，所以一直充满争议。当然，通常情况下，代币的增发行为是公开的，有据可查，所以我们还可以及时反应，甚至与相关项目方干涉沟通，但是如果这种“增发”是毫无记录的，甚至连项目方都不知道的呢？你可能会感到奇怪，竟然会有这样的咄咄怪事？是的，近期北京链安就发现了在合约中设置后门，暗地增发Token并窃取的恶劣行为。

近日，北京链安接到部分项目方反映，他们发布ERC20代币后，还没进一步向其它地址分发，就发现一些来源不明的代币在链上转账，即这些代币原始来源并非其合约创建时分配给官方地址的Token。同时，项目方也发现这些Token并非同名创建的其它合约产生的同名币或“假币”，更像是一种并非由其发起的“增发”。

例如，一项目方便反映，他们观察到以太坊链上其代币HJL交易出现异常增发的情况，一些Token似乎在以太坊网络上凭空产生，没有生成记录，说好的区块链“不可篡改可追溯”呢？

ApeCoin DAO发起新提案AIP-250拟优化APE代币质押智能合约:金色财经报道，ApeCoin社区已发起新提案AIP-250投票，该提案提出了新的APE代币质押解决方案，旨在使用户能够在出售BAYC、MAYC、BAKC的同时收到预付款，并以复合奖励质押APE，继而解决质押NFT升值与获取质押奖励之间的互斥困境。此外，除了APE质押奖励之外，NFT持有者将能够通过产生额外的被动收入来利用其NFT价值，继而最大化APE代币质押奖励和灵活性。据悉，如果AIP-250提案获得通过，将部署新的APE Stake质押智能合约，该合约使用户不仅可以通过自动再投资进质押，还可以以NFT进行借贷或以预付收入将其挂牌出售，确保NFT所有者即使在质押期间仍然可以产生现金流或利用其 NFT 的升值价值，据悉该提案投票将于8月10日结束。[2023/8/6 16:21:23]

该项目地址如下：https://cn.etherscan.com/token/0xf6CBA5729E9137149A278db075b53f429aa31C54

这是增发造成的吗？从真正意义上的增发来说，我们认为应该是相关项目发起方或授权方主动发起了一种增加Token供应量的行为，正常情况下，代币的增发有以下几个条件：

Ran Neuner：Flare并非在XRP协议上构建智能合约:CNBC主持人Ran Neuner发推称，太多的XRP持有者认为Flare正在XRP协议上构建智能合约。并不是这样的。这是一条全新的技术链，与现有协议无关。据此前消息，Coinbase宣布支持Flare Networks即将于12月12日为XRP持有人空投Spark（FLR）代币。[2020/12/7 14:22:46]

智能合约支持增发代币。

增发代币的权限通常由智能合约owner账户持有。

这种情况下，我们应该在链上看到增发的记录，比如ERC20USDT的增发就会有类似这样的记录：

但是，据举报问题的项目方反映，它们并未向0xfa6dd2b9976d67852cc4b3180f1ef8692c4ad87c转账，这个地址似乎有Token“从天而降”。

仙人掌CTS智能合约已通过Beosin(成都链安）安全审计:据官方消息，Beosin（成都链安）近日已完成仙人掌CTS智能合约项目的安全审计服务。

?仙人掌CTS是基于波场底层打造的一个去中心化开放金融底层基础设施。结合跨链，同时包含去中心化稳定数字货币，去中心化预言机，去中心化保险，流动性挖矿，智能挖矿等等功能的创新和聚合，进而打造全面的去中心化金融平台。仙人掌CTS代币无ICO、零预挖且零私募，社区高度自治。仙人掌CTS将会在9月28日晚20点上线Justswap,并开启流动性挖矿。

合约地址：TST5pvck2DSYXJk3hkuGH3t1AisCAT4t1s

审计报告编号：202009262149[2020/9/28]

可以看到，上图记录中，合约创建后产生了4300万枚HJL，转账到0xfee0c开头地址，接着该地址转入0x2ebecf开头地址，接着我们看到了0xfa6dd2开头地址的转账，显然这个地址此前并未获得官方创建的相关Token。

于是，我们进一步查看了该Token的合约：https://cn.etherscan.com/address/0xf6CBA5729E9137149A278db075b53f429aa31C54#contracts

动态 | Netta发现以太坊智能合约虚拟机重大漏洞 覆盖80%虚拟机:11月9日讯，近日，Netta研究院表示，其和清华大学软件学院动态分析小组合作发现以太坊智能合约虚拟机（EVM）重大漏洞，目前该漏洞已被美国国家信息安全漏洞库CVE认证，并称这次漏洞远比“The DAO”事件要严重，如被利用，或将严重破坏整个以太坊经济模型，对全球运行多数公链造成冲击。 据提供ID，经登录CVE官方网站确已查询到收录信息，但该漏洞描述显示“RESERVED”，漏洞被保密，并未披露具体细节。[2018/11/9]

终于，我们发现了玄机所在，智能合约在部署到链上时，在正常发布参数_totalSupply设置供应量的Token的同时，还向地址0xfA6DD2B9976d67852Cc4b3180f1Ef8692c4aD87c的账户上充值了总供应量1%的代币，并且这1%的代币并未计入总供应量中，就HJL而言，相当于实际发行了43000000+43000000*1%=43000000+430000=43430000HJL，而多出来的这些HJL似乎被这个地址给“偷”走了。

动态 | 昨日新增239个代币型智能合约 FreeCoin sentacoin和FomoDD风险最高:第三方大数据评级机构RatingToken最新数据显示，2018年8月29日全球共新增2078个合约地址，其中239个为代币型智能合约。\t在RatingToken同时发布的“新增代币型智能合约风险榜”中，FreeCoin(FRCN)、sentacoin(senta)和FomoDD(Chives)风险最高，其中FreeCoin(FRCN)存在31个安全风险，检测得分为3.1。此外，其他登上该风险榜TOP10的还包括imfomo Long Official(imfomo)、BULLSHITTOKEN(BULLSHIT)、CryptoCasher(CRR)、EAP Smart Token Relay(EAPBNT)、Rethen Token(RETHEN1)、WBC(WBC)和One more try coin(OMTC)。如需查看更多智能合约检测结果，请查看原文链接。[2018/8/30]

从地址0xfa6dd2b9976d67852cc4b3180f1ef8692c4ad87c关于HJL的转账来看，它确实给人一种凭空获得HJL的感觉，并转出了330000HJL。

该地址内还剩下10万枚HJL，和转出的HJL加起来总额为43万HJL，符合合约中的操作。

我们进一步参看了该地址的转账记录，发现有不止一个此类“天降横财”式Token，都是未见转入和合约调用，该地址直接向外转出这些Token

这些项目的合约是不是也遇到类似问题呢？我们查询了PhantomMatter(PHTM2)的合约：https://cn.etherscan.com/address/0xbcc4bcc7577e4042d45ae189ba6c0b264d7bab34#code

不出意外的，我们看到了同样的代码，同样的地址，同样的百分之一增发式“偷取”策略，由此可见这实际上是相关合约留有后门，但是项目方表示并不知情，那么他们又是如何中招的呢。

与项目方的沟通进一步了解到，其发币合约并非自己开发，而是在一个名为“易代币”的发币平台完成，接下来的问题就是在使用这个平台的过程中：

平台的模板是否带有这样的代码。

如果带有这样的代码，是否这本是其功能设置的一部分，或者是客户支付费用的既定方式。

如果有这样的功能和设置，是否明示给客户。

于是，我们在测试网上进行了测试，在网站上，用户首先选择发币类型。

接着输入名称、符号、供应量等信息。

最后是支付相应的创建交易费用，然后确认就可以了，全程没有任何地方提及会有最终合约代码中产生的多发1%代币并转到其指定地址的行为，显然这并不是一个其既有的面向客户的功能或者设置。

北京链安已经在测试网络使用了该代币生成网站并部署合约，从合约代码来看，也看到了同样的多发Token并窃取的行为，接收地址也是0xfa6dd2b9976d67852cc4b3180f1ef8692c4ad87c。由此可见，该网站以代币发布平台为名，在为客户提供代币发布服务的同时，在客户不知情的情况下获得代币，一旦相关代币可以交易流通，他们将可以将其卖出获益。

就0xfa6dd2b9976d67852cc4b3180f1ef8692c4ad87c地址关联的项目而言，主要有：

HJL(HJL)

Moneyhome(MH)

PhantomMatter(PHTM2)

CRS(CRS)

LibraPi(LP)

SMART(SMART)

UCC(UC)

其中部分Token已经在交易所交易，我们也看到了涉事地址向相关交易所转账的记录，可见其模式便是暗中多发1%的Token，待其中有币上所便跟进卖出获利。

整个过程，我们发现项目方处于一种极不安全的“裸奔”状态，在使用所谓的发币平台的时候，整个过程对它们是黑盒的，它们看到的只是些设置选项，根本不知道中间的猫腻。与此同时，尽管代码部署并开验证后会开源，但是使用这样的平台的项目方通常技术能力有限，不会去检查其中的缺陷，而目前很多中小交易所上币的时候也不会对项目方做代码审计要求，这就造成这一代码里如此“张扬”的后门通过层层关卡而未被及时堵截。

在这里，北京链安提醒业内各方，对于涉及智能合约的开发请遵循相应的安全原则，如涉及外包开发请在对其能力评估的同时注意道德风险的评估。最后，智能合约的安全审计环节必不可少，请及时联系专业的安全机构进行相应的安全检测。

标签：TOKKENTOKETOKENFenixSwap TokenHGH Tokenimtoken钱包官方版下载1.0WeToken

以太坊交易所热门资讯