相信各位朋友對代幣領域的“增發”這個概念已經不會陌生,比如泰達近期便在以太坊上頻繁增發ERC20標準的USDT,由于這是一種增加代幣流通量的行為,所以一直充滿爭議。當然,通常情況下,代幣的增發行為是公開的,有據可查,所以我們還可以及時反應,甚至與相關項目方干涉溝通,但是如果這種“增發”是毫無記錄的,甚至連項目方都不知道的呢?你可能會感到奇怪,竟然會有這樣的咄咄怪事?是的,近期北京鏈安就發現了在合約中設置后門,暗地增發Token并竊取的惡劣行為。
近日,北京鏈安接到部分項目方反映,他們發布ERC20代幣后,還沒進一步向其它地址分發,就發現一些來源不明的代幣在鏈上轉賬,即這些代幣原始來源并非其合約創建時分配給官方地址的Token。同時,項目方也發現這些Token并非同名創建的其它合約產生的同名幣或“假幣”,更像是一種并非由其發起的“增發”。
例如,一項目方便反映,他們觀察到以太坊鏈上其代幣HJL交易出現異常增發的情況,一些Token似乎在以太坊網絡上憑空產生,沒有生成記錄,說好的區塊鏈“不可篡改可追溯”呢?
Circle歐盟事務總監:歐洲議會就《歐盟數據法》達成初步協議,其中包括對智能合約的監管:金色財經報道,Circle歐盟政府事務高級總監 Jonas Frederiksen 發推表示,歐洲議會已就其對《歐盟數據法》的談判立場達成初步協議,其中包括對智能合約的監管。EP(European Parliament)提案概述了智能合約的基本要求,包括穩健性和訪問控制、安全終止和中斷以及與傳統合約的等效性。更重要的是,歐洲議會提案刪除了委員會原提案中的許多嚴厲條款,包括合格評定和歐盟合格聲明、供應商的合規責任以及協調標準。這意味著歐盟將采用更加務實的方法來監管智能合約,提供必要的保護,同時消除部署和開發的障礙。[2023/2/2 11:44:00]
該項目地址如下:https://cn.etherscan.com/token/0xf6CBA5729E9137149A278db075b53f429aa31C54
因涉嫌提交ChatGPT生成的漏洞報告,智能合約漏洞賞金平臺Immunefi封禁15名用戶:1月18日消息,智能合約漏洞賞金平臺 Immunefi 對 15 名用戶實施封禁,這些用戶涉嫌向平臺提交由人工智能工具 ChatGPT 生成的漏洞報告。 Immunefi 在社交媒體發文稱,白帽黑客應該使用自己的語言而不是人工智能語言工具來描述問題,也不能通過這種手段加快軟件 Bug 的處理解決速度。[2023/1/18 11:18:48]
這是增發造成的嗎?從真正意義上的增發來說,我們認為應該是相關項目發起方或授權方主動發起了一種增加Token供應量的行為,正常情況下,代幣的增發有以下幾個條件:
智能合約支持增發代幣。
增發代幣的權限通常由智能合約owner賬戶持有。
這種情況下,我們應該在鏈上看到增發的記錄,比如ERC20USDT的增發就會有類似這樣的記錄:
數據:鎖定在智能合約中的 ETH 數量大幅上漲,交易所持有的 ETH 銳減:據 Glassnode 數據顯示,自 7 月份以來,交易所持有的 ETH 數量一直在下降,從 8 月份的 19,000 ETH 下降至目前 15,500 。與此同時,存儲在智能合約中的 ETH 數量一直在上升,自 6 月的 11% 上升到目前 16%。[2020/11/21 21:36:21]
但是,據舉報問題的項目方反映,它們并未向0xfa6dd2b9976d67852cc4b3180f1ef8692c4ad87c轉賬,這個地址似乎有Token“從天而降”。
可以看到,上圖記錄中,合約創建后產生了4300萬枚HJL,轉賬到0xfee0c開頭地址,接著該地址轉入0x2ebecf開頭地址,接著我們看到了0xfa6dd2開頭地址的轉賬,顯然這個地址此前并未獲得官方創建的相關Token。
歷史上的今天丨蘇黎世聯邦理工學院開發以太坊智能合約掃描儀:2019年7月14日,游說公司Blockchain Association的Kristin Smith透露稱,美國國會對Libra的聽證會可能將會集中在Libra具體定義和監管、如何應對系統性風險及隱私安全問題。美國國會工作人員正考慮檢查Libra是否符合證券、股票衍生品或ETF的定義,以及Libra如何獲得保障,如何防止和應對其帶來的經濟系統性風險問題。同時Libra總部定為瑞士日內瓦,也會讓監管人員擔心這會限制美國對該項目的監管。Libra所帶來的隱私問題也是大多數立法者的擔憂。
2018年7月14日,蘇黎世聯邦理工學院的研究人員開發了一個以太坊智能合約掃描儀,用以檢查智能合約是否存在漏洞、bug、或是其他潛在問題。這些研究人員包括Petar Tsankov博士,Hubert Ritzdorf博士,Martin Vechev教授和Arthur Gervais博士,他們都在系統安全方面擁有豐富的行業和學術經驗,并且努力改進區塊鏈智能合約。[2020/7/14]
于是,我們進一步查看了該Token的合約:https://cn.etherscan.com/address/0xf6CBA5729E9137149A278db075b53f429aa31C54#contracts
分析 | 以太坊仍是智能合約開發者的首選可編程區塊鏈:據CryptoGlobe消息, 5月31日,幣安研究院發布的報告顯示,DeF應用已經變得“越來越受歡迎”,最大的智能合約平臺以太坊成為大多數軟件架構師的“首選可編程區塊鏈”。值得注意的是,幣安研究院團隊預測,隨著新的加密平臺建立在以太坊協議之上,這一趨勢將會繼續。研究還提到,DApp(如預測市場)已經“得到了廣泛的市場覆蓋面”。具體來說,在Augur(REP)預測市場網絡(Veil和AugurLite)上第二層協議的持續發展表明對此類產品有著強烈的需求。[2019/6/1]
終于,我們發現了玄機所在,智能合約在部署到鏈上時,在正常發布參數_totalSupply設置供應量的Token的同時,還向地址0xfA6DD2B9976d67852Cc4b3180f1Ef8692c4aD87c的賬戶上充值了總供應量1%的代幣,并且這1%的代幣并未計入總供應量中,就HJL而言,相當于實際發行了43000000+43000000*1%=43000000+430000=43430000HJL,而多出來的這些HJL似乎被這個地址給“偷”走了。
從地址0xfa6dd2b9976d67852cc4b3180f1ef8692c4ad87c關于HJL的轉賬來看,它確實給人一種憑空獲得HJL的感覺,并轉出了330000HJL。
該地址內還剩下10萬枚HJL,和轉出的HJL加起來總額為43萬HJL,符合合約中的操作。
我們進一步參看了該地址的轉賬記錄,發現有不止一個此類“天降橫財”式Token,都是未見轉入和合約調用,該地址直接向外轉出這些Token
這些項目的合約是不是也遇到類似問題呢?我們查詢了PhantomMatter(PHTM2)的合約:https://cn.etherscan.com/address/0xbcc4bcc7577e4042d45ae189ba6c0b264d7bab34#code
不出意外的,我們看到了同樣的代碼,同樣的地址,同樣的百分之一增發式“偷取”策略,由此可見這實際上是相關合約留有后門,但是項目方表示并不知情,那么他們又是如何中招的呢。
與項目方的溝通進一步了解到,其發幣合約并非自己開發,而是在一個名為“易代幣”的發幣平臺完成,接下來的問題就是在使用這個平臺的過程中:
平臺的模板是否帶有這樣的代碼。
如果帶有這樣的代碼,是否這本是其功能設置的一部分,或者是客戶支付費用的既定方式。
如果有這樣的功能和設置,是否明示給客戶。
于是,我們在測試網上進行了測試,在網站上,用戶首先選擇發幣類型。
接著輸入名稱、符號、供應量等信息。
最后是支付相應的創建交易費用,然后確認就可以了,全程沒有任何地方提及會有最終合約代碼中產生的多發1%代幣并轉到其指定地址的行為,顯然這并不是一個其既有的面向客戶的功能或者設置。
北京鏈安已經在測試網絡使用了該代幣生成網站并部署合約,從合約代碼來看,也看到了同樣的多發Token并竊取的行為,接收地址也是0xfa6dd2b9976d67852cc4b3180f1ef8692c4ad87c。由此可見,該網站以代幣發布平臺為名,在為客戶提供代幣發布服務的同時,在客戶不知情的情況下獲得代幣,一旦相關代幣可以交易流通,他們將可以將其賣出獲益。
就0xfa6dd2b9976d67852cc4b3180f1ef8692c4ad87c地址關聯的項目而言,主要有:
HJL(HJL)
Moneyhome(MH)
PhantomMatter(PHTM2)
CRS(CRS)
LibraPi(LP)
SMART(SMART)
UCC(UC)
其中部分Token已經在交易所交易,我們也看到了涉事地址向相關交易所轉賬的記錄,可見其模式便是暗中多發1%的Token,待其中有幣上所便跟進賣出獲利。
整個過程,我們發現項目方處于一種極不安全的“裸奔”狀態,在使用所謂的發幣平臺的時候,整個過程對它們是黑盒的,它們看到的只是些設置選項,根本不知道中間的貓膩。與此同時,盡管代碼部署并開驗證后會開源,但是使用這樣的平臺的項目方通常技術能力有限,不會去檢查其中的缺陷,而目前很多中小交易所上幣的時候也不會對項目方做代碼審計要求,這就造成這一代碼里如此“張揚”的后門通過層層關卡而未被及時堵截。
在這里,北京鏈安提醒業內各方,對于涉及智能合約的開發請遵循相應的安全原則,如涉及外包開發請在對其能力評估的同時注意道德風險的評估。最后,智能合約的安全審計環節必不可少,請及時聯系專業的安全機構進行相應的安全檢測。
Tags:TOKTOKETOKENKENXWC Dice TokenTec TokenSuper Algorithmic Tokenkraken下載app
來源:CointelegraphChina編者注:原標題為《CoinMetrics報告顯示,穩定幣日交易額達到4.44億美元》據CoinMetrics報告顯示.
1900/1/1 0:00:00嘉楠耘智將向Mawson提供11760臺比特幣礦機:納斯達克上市公司嘉楠耘智(NASDAQ:CAN)周三宣布.
1900/1/1 0:00:00近來新冠疫情得到有效控制,各地復工復學進程已逐步展開,而多地出臺支持區塊鏈相關事宜發展的刺激政策和鼓勵政策也接連不斷,一起來看都有哪些吧~ 01江蘇省 江蘇省工信廳4月8日發布最新數據.
1900/1/1 0:00:00盡管像比特幣這樣的加密貨幣已經存在了十多年,對于它們所帶來的顛覆性能力的觀點也高度分歧,但央行數字貨幣正在成為熱議的中心.
1900/1/1 0:00:00要點: 比特幣減半可能不會立即帶來市場上漲。當前的經濟危機顛覆了所有預測。比特幣和加密貨幣分析師本杰明·科恩發布了一段分析視頻,該視頻質疑了許多加密貨幣倡導者所持的周期性價格理論.
1900/1/1 0:00:00來源:哈希派 行情 | BTC重回8000美元上方:火幣全球站數據顯示,BTC短線小幅反彈,重回8000美元上方,現報8005.50美元,日內跌幅約3.76%,行情波動較大,請做好風險控制.
1900/1/1 0:00:00