假幣襲擊幣圈_ETH

文|嚯嚯

編輯|文刀

過去的一個月里，EOS、HT等幣都出現了造假現象。而區塊鏈安全公司的人士介紹，幣圈的主流幣種幾乎都有假幣的身影。

造假者通過智能合約，便可發行與代幣名稱、描述、Logo等一模一樣的假代幣，交易所、DApp、個人用戶均是造假者盯準的對象。

唯一的破綻是真假幣的合約地址的不同，但這對于普通持幣者來說，還是一個不太容易識別的門檻，假代幣常常會套走受害者的真資產。

當假代幣流入幣圈并變得越發猖狂后，資產安全問題無疑值得重視。

成都鏈安科技聯合創始人高子揚表示，使用知名瀏覽器查看鏈上交易并注意代幣狀態，能有效防范假幣。

交易所、DApp成假幣輸送對象

近日，EOS公鏈上出現10億枚假幣的消息令人關注。

慢霧xToken被黑事件分析：兩個合約分別遭受“假幣”攻擊和預言機操控攻擊:據慢霧區消息，以太坊 DeFi 項目 xToken 遭受攻擊，損失近 2500 萬美元，慢霧安全團隊第一時間介入分析，結合官方事后發布的事故分析，我們將以通俗易懂的簡訊形式分享給大家。

本次被黑的兩個模塊分別是 xToken 中的 xBNTa 合約和 xSNXa 合約。兩個合約分別遭受了“假幣”攻擊和預言機操控攻擊。

一）xBNTa 合約攻擊分析

1. xBNTa 合約存在一個 mint 函數，允許用戶使用 ETH 兌換 BNT，使用的是 Bancor Netowrk 進行兌換，并根據 Bancor Network 返回的兌換數量進行鑄幣。

2. 在 mint 函數中存在一個 path 變量，用于在 Bancor Network 中進行 ETH 到 BNT 的兌換，但是 path 這個值是用戶傳入并可以操控的

3. 攻擊者傳入一個偽造的 path，使 xBNTa 合約使用攻擊者傳入的 path 來進行代幣兌換，達到使用其他交易對來進行鑄幣的目的。繞過了合約本身必須使用 ETH/BNT 交易對進行兌換的限制，進而達到任意鑄幣的目的。

二）xSNXa 合約攻擊分析

1. xSNXa 合約存在一個 mint 函數，允許用戶使用 ETH 兌換 xSNX，使用的是 Kyber Network 的聚合器進行兌換。

2. 攻擊者可以通過閃電貸 Uniswap 中 ETH/SNX 交易對的價格進行操控，擾亂 SNX/ETH 交易對的報價，進而擾亂 Kyber Network 的報價。從而影響 xSNXa 合約的價格獲取

3. 攻擊者使用操控后的價格進行鑄幣，從而達到攻擊目的。

總結：本次 xToken 項目被攻擊充分展現了 DeFi 世界的復雜性，其中針對 xSNXa 的攻擊更是閃電貸操控價格的慣用手法。慢霧安全團隊建議 DeFi 項目開發團隊在進行 DeFi 項目開發的時候要做好參數校驗，同時在獲取價格的地方需要防止預言機操控攻擊，可使用 Uniswap 和 ChainLink 的預言機進行價格獲取，并經過專業的安全團隊進行審計， 保護財產安全。詳情見官網。[2021/5/13 21:57:48]

6月21日14點20分，Beosin成都鏈安發布安全預警，賬戶名為“larry5555555”的用戶發行了10億枚“EOS假幣”并分發到了數個小號。據估算，此次偽造的數字貨幣賬面市值超400億元。

緊跟熱點 ERC20標準FIL假幣騙局再現:北京鏈安Chainsmap監測系統發現，隨著Filecoin主網上線成為近期投資熱點，以ERC20合約偽造“FIL”代幣的騙局也已經再度出現。這些所謂的FIL代幣甚至剛剛在兩天前創建，即開始以空投的方式向一些地址轉賬，同時已經以此代幣在Uniswap建立交易對池子，并有人參與交易。在此，我們提醒各位投資者在投資前，首先學習了解Filecoin技術和投資的常識，注意提防此類假幣騙局。[2020/10/16]

發現大量的假EOS后，成都鏈安迅速提醒項目方做應急措施和預警準備，必要時找安全公司進行代碼審計，避免用戶資產受損。

幸運的是，截至發稿時尚未有任何區塊鏈項目方或交易所受到此次假幣事件影響。

這已經是6月以來的第二次假幣事件，就在EOS假幣預警出現的前一天，HT也出現了造假事件，有用戶因此遭受資產損失。

Tokenlon：LON代幣尚未正式發行?請警惕假幣騙局:9月25日，Tokenlon官方發布用戶激勵計劃并發行LON代幣。

目前，LON代幣合約還未正式部署，現在宣稱可流通、交易的LON均是假冒代幣，請大家提高警惕。

同時，LON不會有任何資金募集，也不會有任何形式的代幣銷售，每個用戶可通過Tokenlon貢獻交易量免費獲得。[2020/9/26]

6月20日，數字資產追蹤平臺CoinHunter監測到，有詐騙者通過聲稱可以1:177的比例，以ETH兌換“HT”，誘騙小白用戶將ETH轉入詐騙者的賬戶中。而這個所謂的“HT”只是詐騙者私自發行的假Token。

HT是火幣基于以太坊公鏈發行的通用積分，火幣數據顯示，ETH和HT的兌換比例大約為1:78，遠低于造假者所宣稱的1:177。

ETH和HT的兌換比例約為1:78

JustSwap白名單上SSK疑似為假幣:9月23日，JustSwap白名單上SSK疑似為假幣。根據SunStake（SSK）官方消息，SSK代幣地址：TW1sqqq7UphAqGNHDXSLXsEainYHJuQeyC。而JustSwap上的SSK代幣地址為：TYbtUJpoAos99Kt3ih81s6P8TZ1ATTv6Cj。（律動BlockBeats）[2020/9/23]

據CoinHunter披露，造假者通過誘騙貪便宜的用戶，成功獲得的詐騙金額已累計高達969個ETH，市值超200萬元，其中單一用戶最高被騙取885個ETH。

從兩起假幣事件可見，造假的目的直指置換真幣。而據以往的案例看，造假者的目標已經不僅僅是普通的小白持幣者，甚至直接盯上了一些公鏈，構建在公鏈上的DApp也成為了置換假幣的場所。

4月12日，波場DAppTronbank曾遭受假幣攻擊，它將攻擊者發行的無價值代幣錯誤的識別為價值85萬元的BTT代幣，造成了巨額損失。

成都鏈安團隊分析，該假幣事件的主要原因在于Tronbank智能合約沒有嚴格驗證代幣的唯一標識符，才讓假幣成功流入賬戶。

成都鏈安科技聯合創始人高子揚告訴蜂巢財經，假幣能否套現成功主要取決于交易所或項目方對代幣的驗證邏輯是否嚴密，“如果有關方驗證不嚴就可能遭受假幣欺騙。”

多數主流幣遭造假

目前，“假幣事件”已普遍出現在以太坊、波場、EOS等公鏈上。那么，為何這些公鏈會成為造假者的目標？

“事實上只要是沒有對發幣名稱進行限制的公鏈，都會存在假幣的現象。”去中心化交易所Newdex的技術人員告訴蜂巢財經，“假幣攻擊與造假原理基本相同。”

高子揚以市面上的假冒USDT舉例，“目前幾乎所有開放發幣功能的公鏈都可以發重名代幣，主要的方式是發行與目標幣種同名且圖標等信息相似的個人代幣。”

USDT假幣名單截圖

他提供了一份USDT假幣的統計圖，其中出現的5個假幣，有4個直接以“USDT”命名。而實際上，USDT是Tether公司推出的穩定幣，發行和交易使用的是Omni協議，“真正的USDT在Omni協議上其實叫TetherUS。”

Omni協議上的USDT真身

打開EOS、以太坊、波場等公鏈的區塊游覽器，如果你檢索BNB、OKB等知名項目，不難發現，同名Token廣泛存在。

高子揚表示，假幣的出現并非由于上述公鏈或代幣本身存在漏洞，“發行同名代幣本來是各大公鏈的合法業務場景，雖然有攻擊者惡意利用了這項業務，但代幣發行機制本身并沒有問題。只是我們在使用代幣的場景中要提高安全意識，仔細判斷，避免受到欺騙而遭受損失。”

以EOS公鏈為例，由于EOS公鏈的智能合約并不對Token的名稱進行唯一性的限制，因此任何人都可以發布名為EOS的代幣。Newdex團隊告訴蜂巢財經，辨別真假Token的唯一途徑是判斷幣種合約的發行主體，也就是發行這個代幣的EOS賬戶。

警惕低價誘惑防范個人交易

相比現實世界的法幣，數字貨幣的發行成本非常低，智能合約帶來“人人都能發幣”的自由，也成為動機不良者的作惡工具。掌握一些防范方式成為數字貨幣持有者的必要技能。

據一名交易所從業者透露，通過智能合約發行的Token，唯一區分點就是合約地址，其他諸如代幣名稱、描述、接口等，均是智能合約內部的內容，沒有限制。

上述人士認為，“造假成本不高，用戶警覺性低，是假幣得以猖狂的根本原因。針對個人用戶，造假者通常會以代投、搬磚套利、量化交易、低價兌換等方式，向投資者騙取真幣。”

交易所和項目方尚且可以通過技術手段辨別真假幣種，那么對于小白用戶來說，應該怎么樣去防范這些假幣？

Newdex告訴蜂巢財經，剛進幣圈的用戶往往沒有辨別真假幣的能力，因此最好通過靠譜的渠道進行OTC轉賬和交易，不要選擇與個人直接交易，或者在信譽不夠的第三方平臺上進行操作。

對于有一定交易經驗的幣圈用戶來說，高子揚的建議是使用知名瀏覽器查看鏈上交易，并注意代幣的狀態，“這樣就能有效防范假幣。”

如果實在無法辨別真假，慢霧安全團隊給出建議，可以將數字錢包內的資產充值到交易所看能否充值成功，假數字資產充值到交易所不會到賬。用戶也可以向代幣官方人員進行求證，“不過任何掛著交易所或者錢包Logo頭像的人員并不一定就是真實的官方人員，因此在求證時，務必找準官方渠道。”

Tags：ETHKENTOKEEOSVETHProfessional Fighters League Fan TokenRocket TokenEOSADD

AVAX