近日,區塊鏈安全公司PeckShield向鏈聞透露:多個已經在主流交易所上線的ERC20幣種的智能合約代碼存在嚴重的安全隱患,「攻擊者」可通過公開的接口,以「零成本」技術手段實施割韭菜套利行為。
PeckShield調查發現,目前已知有700多個ERC20幣種存在此類問題。我們已經證實了至少有數十個幣種已經在包括幣安、火幣以及OKex在內的主流交易所公開上線交易,且交易量巨大。其中最大幣種市值已達1.5億美金,全部幣種共影響波及數十萬投資者。
眾所周知,交易所控著著數字貨幣資產的流進和流出,作為一個數字資產中轉樞紐,交易所自誕生以來漏洞和安全事件就層出不窮,數年來,圍繞交易所出現的黑客攻擊事件,已造成超百億美元的損失。然而,這僅僅是明面上技術漏洞誘發的黑客攻擊事件,幕后還有借助智能合約代碼漏洞實施操縱幣價展開不公平套利行為。
Twitter禁止多個社交媒體平臺鏈接和用戶名相關內容的發布:金色財經報道,Twitter官方的賬號TwitterSupport發文稱,“我們認識到,我們的許多用戶都活躍在其他社交媒體平臺上。然而,我們將不再允許在Twitter上免費推廣某些社交媒體平臺。具體來說,我們將刪除僅僅為了推廣其他社交平臺而創建的賬戶,以及包含以下平臺的鏈接或用戶名的內容,Facebook、Instagram、Mastodon、Truth Social、Tribel、Nostr和Post。我們仍然允許任何社交媒體平臺交叉發布內容,未列出在上述的社交媒體平臺鏈接或用戶名不違反本政策。”[2022/12/19 21:52:45]
PeckShield研究大量智能合約代碼發現,攻擊者可使用如下兩種技術手段來操縱幣價:
安全問題一:項目owner可無限增發Token
美國多個州級證券監管機構正在調查Celsius:金色財經消息,美國新澤西州、阿拉巴馬州、肯塔基州和華盛頓州的證券監管機構正在調查加密借貸平臺Celsius Network暫停客戶贖回的決定。
此前消息,美國德州證券委員會將對Celsius凍結賬戶事件展開調查。[2022/6/17 4:33:34]
存在問題的ERC20幣種智能合約有一個僅owner可調用的方法:mintToken,這個可被owner用于增發token。通常一個項目在上交易所之前即預售期,增發行為尚算合理,項目方定向空投一些Token給特定地址,目的是為了激勵社區用戶參與活躍度。但在交易所上線可正常交易后,此種借助智能合約的增發行為會讓項目owner空手套利,會嚴重影響市場平衡。
圖一:受影響智能合約存在的mintToken問題
BitMax交易平臺多個幣種24小時漲幅超5%:據BitMax(BTMX.COM)官網顯示,截止今日12:00其平臺上多個幣種24小時漲幅超5%:CET(6.65%)、ZIL(5.97%)、XLM(5.69%)、ZRX(5.56%)。
BitMax支持XLM、ZIL 3倍杠桿交易和ZRX 2倍杠桿交易,更多詳情見BitMax平臺官網。[2020/5/2]
糟糕的是,我們已經發現有10余種存在此類問題的可交易Token,他們存在于23個包括Binance和OKex這樣的頂級交易所,且目前交易量巨大,一旦被利用可以影響數以萬計的投資者。
以下為披露此信息時,我們已經發現的10個存在此問題的Token。
安全問題二:可操縱的價格和不公平的套利行為
存在問題的ERC20幣種的智能合約有三個可調用方法:
聲音 | 伊朗區塊鏈協會主席:去年美國政府收繳伊朗人500多個比特幣:據bitcoin.com報道,伊朗區塊鏈協會主席Sepehr Mohammadi日前表示,去年相當一部分屬于伊朗國民的比特幣被美國聯邦政府沒收,并未說明原因,雖然具體數量報名但預計應該超過500個比特幣,當時市值約577萬美元。Mohammadi稱,沒收還在繼續。有人認為,沒收源于比特幣持有者企圖規避美國對伊朗制裁。他解釋說,伊朗國民無法采取法律行動追回這些被收繳的比特幣,因為伊朗頒布了加密數字貨幣禁令。伊朗區塊鏈協會需求采取國際范圍的法律行動,但還未找到反洗錢方面的法律專家接手此案。今年4月23日伊朗央行宣布,禁止全國所有金融機構使用比特幣和其他數字貨幣,認為加密貨幣可能用于洗錢和為恐怖主義融資。[2018/7/23]
1)setPrices:僅owner可訪問,用來調整通過方法buy以及sell進行的token的買賣價格(即buyPrice/sellPrice);
2)buy:公開且任意可訪問方法,根據buyPrice購買token;
3)sell:公開且任意可訪問方法,根據sellPrice購買token。
為描述方便起見,我們將buyPrice/sellPrice稱之為owner可操縱價格,并將token在交易所的價格稱為市場價格。
圖二:可操縱和利用的智能合約接口
按理說,一個幣種上交易所后,交易走量都需要通過交易平臺,成交時的買賣價格也是和市場保持同步的。然而,我們在圖二代碼中發現,項目owner可以通過智能合約任意修改買入價和賣出價,完全不需要依照市場價格。這樣以來「套利」空間就有了,套利者可以在Token市場價格略高通過接口定一個較低的買入價,然后再以市場價格賣出,套利者還可以用市場價格買入Token,再設定一個比市場價格高的價格賣出。不管怎樣,這是一種干涉市場對流通Token「定價權」的行為,嚴重點講已經控制了市場,對市場上其他投資者而言存在極大的不公平。
以下為披露信息時,我們已經發現的9個存在此問題的Token。
截至目前為止,已發現9個可交易的token,在26個交易所上線交易。其中如SUB、INT和SWFTC等token都在主流的交易所上線并擁有巨大的交易量和影響力。
其它安全問題
我們進一步研究發現,如圖三和圖四,sell或buy方法中存在整數溢出漏洞,項目owner在布局第二種套利行為的時候,可以設計一個套利陷阱,owner能夠利用該漏洞損害普通用戶應得的收益。
圖三:受影響的買方智能合約類別
圖四:受影響的賣方智能合約類別
通常來講,傳統股票證券市場存在這樣的「割韭菜」套路,幕后大莊通過周期性低拉高拋來制造市場震蕩來收割韭菜,利用的是不少散戶投資者盲目追漲殺跌的心理。大多數情況下,數字貨幣市場的大部分割韭菜行為也是基于此市場化操盤來實現。我們最新發現的此種借助智能合約漏洞割韭菜的方式,不經過市場,以技術手段進行零成本收割,對數字貨幣市場的穩定性威脅極大。
6月9日,PeckShield發現了上述安全隱患,在評估了安全威脅之后第一時間通知了相關交易所,希望攜手交易所來共同預防危機的發生。不少交易所(如幣安)和項目方(如Substratum,即SUB)在得到通報后已積極做出了響應。詳情請參見:https://peckshield.com/2018/06/11/tradeTrap。通過此次更詳細的漏洞披露,我們可以看到安全漏洞背后的技術細節,也認識到此類安全問題存在的危害性,希望個多的交易所和項目方能夠和我們通力合作,一同提高智能合約生態系統的安全性。
本文來源于非小號媒體平臺:
鏈聞ChainNews
現已在非小號資訊平臺發布1篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/3626877.html
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
下一篇:
EOS主網上線為何難產?具體進展如何?
Tags:KENTOKETOKENTOKWine TokenSingle Dog Swap TokenUBIEX TokenTokenSky
今天封面是《吃馬鈴薯的人》,文森特·梵高CryptoNews上有篇報道,富達對400多家美國投資機構做了一項關于數字貨幣的調查,結果顯示已有四分之一的機構已經接觸數字貨幣.
1900/1/1 0:00:00安全研究員AnuragSen發現一個公共亞馬遜網絡服務數據庫,其中包含超過4900萬個Instagram賬戶的聯系信息。Facebook是Instagram和大多數其他社交媒體的壟斷所有者.
1900/1/1 0:00:00美國銀行(BoA)的CTO今天表示,加密貨幣由于缺乏透明度,阻礙了執法部門抓壞人。這家跨國金融機構首席技術官CathyBessant認為,目前銀行業的透明度有助于監管透明,能實現對銀行業務的實時.
1900/1/1 0:00:00一個從暗網走出來的共振幣,盡管利用了區塊鏈技術,但金字塔式的拉人頭,打著實現財富夢想的幌子進行洗腦,本質上依然屬于傳銷和資金盤的玩法.
1900/1/1 0:00:00Glassberg曾經是安永和雷曼兄弟的網絡安全高管,也是很多金融及科技行業的顧問。他在本文中指出,加密貨幣投資沒有受到監管,也沒有相應的保險措施,因此任何損失受不到賠償和追回的保護.
1900/1/1 0:00:00誰說區塊鏈公司都是空中樓閣,或者只能和政府玩著貓鼠游戲才能生存?就有這么一家區塊鏈公司,口碑頗好,運營穩健,創立6年,客戶超過1000萬人,日均新增用戶10萬人.
1900/1/1 0:00:00