比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > FIL幣 > Info

盜幣的不只是黑客,“一鍵發幣”平臺暗藏后門,暗地增發盜幣_TOK

Author:

Time:1900/1/1 0:00:00

相信各位朋友對代幣領域的“增發”這個概念已經不會陌生,比如泰達近期便在以太坊上頻繁增發ERC20標準的USDT,由于這是一種增加代幣流通量的行為,所以一直充滿爭議。當然,通常情況下,代幣的增發行為是公開的,有據可查,所以我們還可以及時反應,甚至與相關項目方干涉溝通,但是如果這種“增發”是毫無記錄的,甚至連項目方都不知道的呢?你可能會感到奇怪,竟然會有這樣的咄咄怪事?是的,近期北京鏈安就發現了在合約中設置后門,暗地增發Token并竊取的惡劣行為。近日,北京鏈安接到部分項目方反映,他們發布ERC20代幣后,還沒進一步向其它地址分發,就發現一些來源不明的代幣在鏈上轉賬,即這些代幣原始來源并非其合約創建時分配給官方地址的Token。同時,項目方也發現這些Token并非同名創建的其它合約產生的同名幣或“假幣”,更像是一種并非由其發起的“增發”。例如,一項目方便反映,他們觀察到以太坊鏈上其代幣HJL交易出現異常增發的情況,一些Token似乎在以太坊網絡上憑空產生,沒有生成記錄,說好的區塊鏈“不可篡改可追溯”呢?

慢霧:近期出現新的流行惡意盜幣軟件Mystic Stealer,可針對40款瀏覽器、70款瀏覽器擴展進行攻擊:6月20日消息,慢霧首席信息安全官@IM_23pds在社交媒體上發文表示,近期已出現新的加密貨幣盜竊軟件Mystic Stealer,該軟件可針對40款瀏覽器、70款瀏覽器擴展、加密貨幣錢包進行攻擊,如MetaMask、Coinbase Wallet、Binance、Rabby Wallet、OKX Wallet、OneKey等知名錢包,是目前最流行的惡意軟件,請用戶注意風險。[2023/6/20 21:49:05]

但是,據舉報問題的項目方反映,它們并未向0xfa6dd2b9976d67852cc4b3180f1ef8692c4ad87c轉賬,這個地址似乎有Token“從天而降”。

警惕Tampermonkey擴展的惡意JavaScript插件劫持盜幣攻擊:據慢霧區情報反饋,有人在LocalBitcoins進行交易時,被誘騙使用了一段所謂增強的JavaScript插件導致被盜比特幣,該JavaScript插件可以在瀏覽器知名擴展Tampermonkey(油猴)上方便使用。一旦使用,該惡意JavaScript即可篡改用戶在LocalBitcoins上的比特幣地址,達到劫持盜幣攻擊的目的。[2020/11/5 11:42:19]

可以看到,上圖記錄中,合約創建后產生了4300萬枚HJL,轉賬到0xfee0c開頭地址,接著該地址轉入0x2ebecf開頭地址,接著我們看到了0xfa6dd2開頭地址的轉賬,顯然這個地址此前并未獲得官方創建的相關Token。于是,我們進一步查看了該Token的合約:https://cn.etherscan.com/address/

動態 | 慢霧科技:區塊鏈作惡主要包括盜幣、惡意挖礦、勒索等八大方面:慢霧科技今日在其官博上發表“區塊鏈作惡總結圖”:區塊鏈作惡可分為盜幣、惡意挖礦、勒索、暗網、C2中轉、洗錢、資金盤、。其中這八個方面又細分出很多作惡手段,比如盜幣有釣魚攻擊、木馬攻擊、算力攻擊、智能合約攻擊、基礎設施攻擊等作惡手段。此外,慢霧科技還提醒,競技類DApp已經成為帶有“智能合約”的公鏈不可忽略的某種落地場景,或將可能作為新型作惡手段。[2019/1/10]

終于,我們發現了玄機所在,智能合約在部署到鏈上時,在正常發布參數_totalSupply設置供應量的Token的同時,還向地址0xfA6DD2B9976d67852Cc4b3180f1Ef8692c4aD87c的賬戶上充值了總供應量1%的代幣,并且這1%的代幣并未計入總供應量中,就HJL而言,相當于實際發行了43000000+43000000*1%=43000000+430000=43430000HJL,而多出來的這些HJL似乎被這個地址給“偷”走了。

聲音 | Bitfinex’ed:Bitfinex操縱比特幣價格 編造黑客盜幣事件:據華爾街見聞消息,一位網名為Bitfinex’ed的匿名博主表示,Bitfinex聲稱他們被盜了12萬個比特幣,并表示會給出一個安全性的審計和報告,但是這兩樣東西后來他們都沒有提供出來,黑客事件就是編造出來的。Bitfinex發行了“欠條”幣,讓人們去購買Bitfinex的股權幣BFX,強行搶奪用戶資產來掩蓋交易所的資金困境,這種事情就是龐氏騙局。發行USDT是為了操縱市場,USDT不能兌現,他們只能用USDT去換成比特幣。這樣人為造成比特幣價格上漲。[2018/10/22]

從地址0xfa6dd2b9976d67852cc4b3180f1ef8692c4ad87c關于HJL的轉賬來看,它確實給人一種憑空獲得HJL的感覺,并轉出了330000HJL。

動態 | Coinrail交易所重新開放 恢復部分被盜幣種的交易:據bitcoin.com報道,Coinrail交易所重新開放,并恢復部分被盜幣種的交易。目前DENT,BBC和ETH的資金已全部收回,客戶已可開始進行交易或取現。 JNT的恢復正在進行中,其余七種加密貨幣尚未完全恢復,包括BTC。據早先報道,Coinrail于6月10日被黑客入侵,估計損失約為450億韓元。[2018/7/17]

該地址內還剩下10萬枚HJL,和轉出的HJL加起來總額為43萬HJL,符合合約中的操作。我們進一步參看了該地址的轉賬記錄,發現有不止一個此類“天降橫財”式Token,都是未見轉入和合約調用,該地址直接向外轉出這些Token

這些項目的合約是不是也遇到類似問題呢?我們查詢了PhantomMatter(PHTM2)的合約:https://cn.etherscan.com/address/

不出意外的,我們看到了同樣的代碼,同樣的地址,同樣的百分之一增發式“偷取”策略,由此可見這實際上是相關合約留有后門,但是項目方表示并不知情,那么他們又是如何中招的呢。與項目方的溝通進一步了解到,其發幣合約并非自己開發,而是在一個名為“易代幣”的發幣平臺完成,接下來的問題就是在使用這個平臺的過程中:平臺的模板是否帶有這樣的代碼。如果帶有這樣的代碼,是否這本是其功能設置的一部分,或者是客戶支付費用的既定方式。如果有這樣的功能和設置,是否明示給客戶。

于是,我們在測試網上進行了測試,在網站上,用戶首先選擇發幣類型。

接著輸入名稱、符號、供應量等信息。

最后是支付相應的創建交易費用,然后確認就可以了,全程沒有任何地方提及會有最終合約代碼中產生的多發1%代幣并轉到其指定地址的行為,顯然這并不是一個其既有的面向客戶的功能或者設置。北京鏈安已經在測試網絡使用了該代幣生成網站并部署合約,從合約代碼來看,也看到了同樣的多發Token并竊取的行為,接收地址也是0xfa6dd2b9976d67852cc4b3180f1ef8692c4ad87c。由此可見,該網站以代幣發布平臺為名,在為客戶提供代幣發布服務的同時,在客戶不知情的情況下獲得代幣,一旦相關代幣可以交易流通,他們將可以將其賣出獲益。就0xfa6dd2b9976d67852cc4b3180f1ef8692c4ad87c地址關聯的項目而言,主要有:HJL(HJL)Moneyhome(MH)PhantomMatter(PHTM2)CRS(CRS)LibraPi(LP)SMART(SMART)UCC(UC)其中部分Token已經在交易所交易,我們也看到了涉事地址向相關交易所轉賬的記錄,可見其模式便是暗中多發1%的Token,待其中有幣上所便跟進賣出獲利。整個過程,我們發現項目方處于一種極不安全的“裸奔”狀態,在使用所謂的發幣平臺的時候,整個過程對它們是黑盒的,它們看到的只是些設置選項,根本不知道中間的貓膩。與此同時,盡管代碼部署并開驗證后會開源,但是使用這樣的平臺的項目方通常技術能力有限,不會去檢查其中的缺陷,而目前很多中小交易所上幣的時候也不會對項目方做代碼審計要求,這就造成這一代碼里如此“張揚”的后門通過層層關卡而未被及時堵截。在這里,北京鏈安提醒業內各方,對于涉及智能合約的開發請遵循相應的安全原則,如涉及外包開發請在對其能力評估的同時注意道德風險的評估。最后,智能合約的安全審計環節必不可少,請及時聯系專業的安全機構進行相應的安全檢測。

Tags:TOKENTOKTOKEKENRacing Club Fan TokenTrustFi Network Tokenitoken錢包FMS Token

FIL幣
投資數字貨幣的重要因素:高流動性_MAR

投資者在投資任何投資品時都希望買進來時價格要盡量低而賣出去時價格要盡量高,這樣投資才會有收益,投資品才有投資價值.

1900/1/1 0:00:00
全球疫情和經濟危機,我的四個投資建議_Flare

先看看幾個重要的新聞:哈薩克斯坦貿易和一體化部部長正式宣布,自3月22日起哈薩克斯坦限制出口11種農產品.

1900/1/1 0:00:00
以太坊的擴容方案:Plasma的前世今生(2)_比特幣

上一篇文章中我們提到了Plasma誕生的過程,其實Plasma的誕生并非一蹴而就,而是基于另一個技術改良而來,這個技術就是側鏈技術.

1900/1/1 0:00:00
加密貨幣的黑色星期四:好、壞與丑陋_DEFI

編者按:本文來自頭等倉區塊鏈研究院,作者:EmilioFrangella,翻譯:Tracey_頭等倉,Odaily星球日報經授權轉載。過去一周,DeFi承受巨大壓力.

1900/1/1 0:00:00
對各類企業而言區塊鏈到底能做什么?_區塊鏈

作者:OlyaGreen,Taraxa8minread區塊鏈技術的實用性將取決于可信中介能否彌合數字世界與現實世界的鴻溝.

1900/1/1 0:00:00
比特幣Liquid側鏈在持有的BTC數量上超過公共閃電網絡渠道_LIQ

編者按:本文來自LongHash區塊鏈資訊,作者:LongHashKyleTorpey,Odaily星球日報經授權轉載。閃電網絡可能是改善比特幣網絡的項目中宣傳力度最大的一個.

1900/1/1 0:00:00
ads