月亮链 月亮链
Ctrl+D收藏月亮链

TOKEN:盗币的不只是黑客,“一键发币”平台暗藏后门,暗地增发盗币_AlphaCar Token

作者:

时间:1900/1/1 0:00:00

相信各位朋友对代币领域的“增发”这个概念已经不会陌生,比如泰达近期便在以太坊上频繁增发ERC20标准的USDT,由于这是一种增加代币流通量的行为,所以一直充满争议。当然,通常情况下,代币的增发行为是公开的,有据可查,所以我们还可以及时反应,甚至与相关项目方干涉沟通,但是如果这种“增发”是毫无记录的,甚至连项目方都不知道的呢?你可能会感到奇怪,竟然会有这样的咄咄怪事?是的,近期北京链安就发现了在合约中设置后门,暗地增发Token并窃取的恶劣行为。近日,北京链安接到部分项目方反映,他们发布ERC20代币后,还没进一步向其它地址分发,就发现一些来源不明的代币在链上转账,即这些代币原始来源并非其合约创建时分配给官方地址的Token。同时,项目方也发现这些Token并非同名创建的其它合约产生的同名币或“假币”,更像是一种并非由其发起的“增发”。例如,一项目方便反映,他们观察到以太坊链上其代币HJL交易出现异常增发的情况,一些Token似乎在以太坊网络上凭空产生,没有生成记录,说好的区块链“不可篡改可追溯”呢?

ComPro:链上质押合约存在盗币行为系谣言:3月3日上午,针对“用户在Compro质押合约中被盗150万HPT”事件,ComPro团队本着对用户资产负责的态度进行了迅速的分析,经调查,ComPro链上质押合约存在盗币行为系恶意谣言。

ComPro于3月3日上午8时开放质押矿池,而用户描述在3月3日上午3时进行HPT质押时被盗币,当我们希望用户提供相应的合约地址等更加详细信息时,一位网名为“Viviyorg”的用户自爆是其恶意造谣。

DEFI去中心化金融是金融领域的创新,相应的资产行为都在链上进行并且代码开源。ComPro希望谣言至于智者,和社群一起共同打造DEFI去中心化金融生态并创新、发展。

在此也公布ComPro链上合约地址和安全审计报告:

ComPro合约地址:0x46EFB7724364ded21b3598519D754323A4f66EC9

成都链安审计报告见原文链接。[2021/3/3 18:11:00]

动态 | 慢雾发布有关IOTA用户Trinity钱包被盗币攻击的推测:IOTA 因为近期不少用户的 Trinity 钱包被盗币攻击,为了阻止攻击继续、调查与修复具体原因,主网协调器都暂停运行了。这是一个被低估的经典攻击,官方没披露具体攻击细节,但通过慢雾的分析,可以做出某些重要推测,首先可以明确的几个点:1. 不是 IOTA 区块链协议的问题,是 IOTA 的 Trinity 桌面钱包的问题(官方说的,且先相信)2. 这款桌面钱包基于 Electron(一个使用 JavaScript 为核心构建桌面应用的框架),意味着核心代码是 JavaScript 写的3. 在做该做钱包新旧版本代码的 diff 分析时,发现去除了之前内置的一个交易所功能模块 MoonPay,这其中关键点是去掉了一段可怕的代码:const script = document.createElement('script');

script.src = 'https://cdn.moonpay.io/moonpay-sdk.js';

document.write(script.outerHTML);如果这个第三方 JavaScript 链接主动或被黑作恶,那该桌面版钱包就可以认为是完全沦陷了。到这,慢雾很有理由相信这是个很大的定时炸弹,如果这个定时炸弹是真的炸了,那很吻合官方的一些说辞与解释,如:尽快升级新版本的 Trinity 桌面钱包,尽快改密码,尽快转移资产到安全种子里等等。且看官方的后续披露。[2020/2/19]

但是,据举报问题的项目方反映,它们并未向0xfa6dd2b9976d67852cc4b3180f1ef8692c4ad87c转账,这个地址似乎有Token“从天而降”。

动态 | 印度德里提交关于Coinsecure盗币案件的指控表:据Times of India报道,印度德里提交了一份关于Coinsecure盗币案件的指控表。提交的指控表围绕着Coinsecure首席安全官,他被视为主要嫌疑人之一。高级警官表示,基于数据,调查显示黑客是公司内部人员,查获的公司服务器和计算机仍在分析中。据此前报道,印度三大比特币交易所之一Coinsecure在官网发布公告称,该交易所438个BTC失窃,价值约330万美元。[2018/9/10]

可以看到,上图记录中,合约创建后产生了4300万枚HJL,转账到0xfee0c开头地址,接着该地址转入0x2ebecf开头地址,接着我们看到了0xfa6dd2开头地址的转账,显然这个地址此前并未获得官方创建的相关Token。于是,我们进一步查看了该Token的合约:https://cn.etherscan.com/address/

动态 | Coinrail交易所重新开放 恢复部分被盗币种的交易:据bitcoin.com报道,Coinrail交易所重新开放,并恢复部分被盗币种的交易。目前DENT,BBC和ETH的资金已全部收回,客户已可开始进行交易或取现。 JNT的恢复正在进行中,其余七种加密货币尚未完全恢复,包括BTC。据早先报道,Coinrail于6月10日被黑客入侵,估计损失约为450亿韩元。[2018/7/17]

终于,我们发现了玄机所在,智能合约在部署到链上时,在正常发布参数_totalSupply设置供应量的Token的同时,还向地址0xfA6DD2B9976d67852Cc4b3180f1Ef8692c4aD87c的账户上充值了总供应量1%的代币,并且这1%的代币并未计入总供应量中,就HJL而言,相当于实际发行了43000000+43000000*1%=43000000+430000=43430000HJL,而多出来的这些HJL似乎被这个地址给“偷”走了。

今年已发生22起黑客盗币和欺诈等案件 日均损失2300万美元:据Bitcoin文章统计,2018年的前两个月,共发生了22起金额超过40万美元以上的黑客攻击和欺诈案件,平均每天损失2300万美元。其中,由于“黑客盗币”造成的损失共达13.6亿美元,占总损失的22%,即便排除Coincheck、Bitconnect和Bitgrail,这一数字仍然达到5.42亿美元。若这个趋势继续下去,黑客和欺诈者将会获得32.5亿美元,这相当于一个非洲小国的国内生产总值。该统计不包括在Twitter、Telegram等社交媒体上发生过的“微型”。[2018/3/2]

从地址0xfa6dd2b9976d67852cc4b3180f1ef8692c4ad87c关于HJL的转账来看,它确实给人一种凭空获得HJL的感觉,并转出了330000HJL。

该地址内还剩下10万枚HJL,和转出的HJL加起来总额为43万HJL,符合合约中的操作。我们进一步参看了该地址的转账记录,发现有不止一个此类“天降横财”式Token,都是未见转入和合约调用,该地址直接向外转出这些Token

这些项目的合约是不是也遇到类似问题呢?我们查询了PhantomMatter(PHTM2)的合约:https://cn.etherscan.com/address/

不出意外的,我们看到了同样的代码,同样的地址,同样的百分之一增发式“偷取”策略,由此可见这实际上是相关合约留有后门,但是项目方表示并不知情,那么他们又是如何中招的呢。与项目方的沟通进一步了解到,其发币合约并非自己开发,而是在一个名为“易代币”的发币平台完成,接下来的问题就是在使用这个平台的过程中:平台的模板是否带有这样的代码。如果带有这样的代码,是否这本是其功能设置的一部分,或者是客户支付费用的既定方式。如果有这样的功能和设置,是否明示给客户。

于是,我们在测试网上进行了测试,在网站上,用户首先选择发币类型。

接着输入名称、符号、供应量等信息。

最后是支付相应的创建交易费用,然后确认就可以了,全程没有任何地方提及会有最终合约代码中产生的多发1%代币并转到其指定地址的行为,显然这并不是一个其既有的面向客户的功能或者设置。北京链安已经在测试网络使用了该代币生成网站并部署合约,从合约代码来看,也看到了同样的多发Token并窃取的行为,接收地址也是0xfa6dd2b9976d67852cc4b3180f1ef8692c4ad87c。由此可见,该网站以代币发布平台为名,在为客户提供代币发布服务的同时,在客户不知情的情况下获得代币,一旦相关代币可以交易流通,他们将可以将其卖出获益。就0xfa6dd2b9976d67852cc4b3180f1ef8692c4ad87c地址关联的项目而言,主要有:HJL(HJL)Moneyhome(MH)PhantomMatter(PHTM2)CRS(CRS)LibraPi(LP)SMART(SMART)UCC(UC)其中部分Token已经在交易所交易,我们也看到了涉事地址向相关交易所转账的记录,可见其模式便是暗中多发1%的Token,待其中有币上所便跟进卖出获利。整个过程,我们发现项目方处于一种极不安全的“裸奔”状态,在使用所谓的发币平台的时候,整个过程对它们是黑盒的,它们看到的只是些设置选项,根本不知道中间的猫腻。与此同时,尽管代码部署并开验证后会开源,但是使用这样的平台的项目方通常技术能力有限,不会去检查其中的缺陷,而目前很多中小交易所上币的时候也不会对项目方做代码审计要求,这就造成这一代码里如此“张扬”的后门通过层层关卡而未被及时堵截。在这里,北京链安提醒业内各方,对于涉及智能合约的开发请遵循相应的安全原则,如涉及外包开发请在对其能力评估的同时注意道德风险的评估。最后,智能合约的安全审计环节必不可少,请及时联系专业的安全机构进行相应的安全检测。

标签:TOKENKENTOKTOKEAAX TokenCovid TokenDYTokenAlphaCar Token

以太坊价格今日行情热门资讯
区块链:欧科云链的双赢买卖_holo币中国社区

Overview概述本系列的目的在于,从各方面探讨区块链公司的战略手段和发展思路,以行业内先行者为例,进一步探讨对于区块链未来的判断.

1900/1/1 0:00:00
区块链:一文看懂区块链可扩展性解决方案_以太坊价格今日行情币币情

本文转载翻译自Hackeroon 事实证明,可扩展性是当今主流世界采用区块链技术的最大障碍。尽管就安全性和去中心化程度而言,比特币是无可挑剔的,但就可扩展性而言,却还不尽如人意–与Visa的17.

1900/1/1 0:00:00
比特币:加密人类学_OIN

——Typto 作者:GraceRachmany译者:Emma校对:YefanHuang 区块链技术不仅催生了一个新兴产业,还催生了加密货币领域的一系列亚文化.

1900/1/1 0:00:00
比特币:链法案评:项目方上币未果要求中介退上币费,法院判决驳回诉讼请求_区块链

在区块链行业,项目方为了将其发行的代币上线交易所,往往要向交易所或者其他关联方支付一笔费用,行业习惯称之为“上币费”.

1900/1/1 0:00:00
BIT:韩国特别金融法与市场分析:只有大鳄能生存,各交易所命运如何?_OIN

韩国国会3月5日召开正式大会表决通过《特定金融交易信息报告与使用的相关法律》(以下简称“特金法”)修正案之后,各交易所都纷纷忙碌了起来.

1900/1/1 0:00:00
BTC:多头开始浮现,但力量有待观察_Bitget

1.今日市场概况今日市场总市值为1463亿美元,相比昨日减少3.4%。交易量为1561亿美元,相比昨日减少26%.

1900/1/1 0:00:00