TOK:多个可交易 ERC20 币种存在严重安全隐患，可人为操纵币价套利_Kaleido Token

近日，区块链安全公司PeckShield向链闻透露：多个已经在主流交易所上线的ERC20币种的智能合约代码存在严重的安全隐患，「攻击者」可通过公开的接口，以「零成本」技术手段实施割韭菜套利行为。

PeckShield调查发现，目前已知有700多个ERC20币种存在此类问题。我们已经证实了至少有数十个币种已经在包括币安、火币以及OKex在内的主流交易所公开上线交易，且交易量巨大。其中最大币种市值已达1.5亿美金，全部币种共影响波及数十万投资者。

众所周知，交易所控着着数字货币资产的流进和流出，作为一个数字资产中转枢纽，交易所自诞生以来漏洞和安全事件就层出不穷，数年来，围绕交易所出现的黑客攻击事件，已造成超百亿美元的损失。然而，这仅仅是明面上技术漏洞诱发的黑客攻击事件，幕后还有借助智能合约代码漏洞实施操纵币价展开不公平套利行为。

币安暂停与Bitzlato调查有关的多个账户，90%以上的账户已解锁:1月30日消息，据几位用户称，Binance关闭了平台上与Bitzlato调查有关的多个账户。Binance的一位发言人表示，最近的暂停确实与Bitzlato有关。Binance的发言人强调，大多数暂停是暂时的，并指出，目前90%以上的账户已解锁，用户已收到通知。所有资金都是安全的。已向受影响的用户（不到20人）提供了相关的执法联系信息。（Cointelegraph）[2023/1/30 11:37:09]

PeckShield研究大量智能合约代码发现，攻击者可使用如下两种技术手段来操纵币价：

安全问题一：项目owner可无限增发Token

存在问题的ERC20币种智能合约有一个仅owner可调用的方法：mintToken，这个可被owner用于增发token。通常一个项目在上交易所之前即预售期，增发行为尚算合理，项目方定向空投一些Token给特定地址，目的是为了激励社区用户参与活跃度。但在交易所上线可正常交易后，此种借助智能合约的增发行为会让项目owner空手套利，会严重影响市场平衡。

拜登数字资产责任创新型行政命令要求多个机构在9月5日之前提交相关反馈报告:金色财经报道，对乔·拜登关于加密货币的行政命令的大部分回应将在劳动节后到期。预计财政部和司法部的回应将对美国未来的加密货币政策产生特别的影响。根据3月9日的命令，各机构的七份报告应在命令发布后120天内提交给白宫，因此他们的最后期限为9月5日，即劳动节的第二天。

行政命令强调了机构间合作的必要性，但这些命令及其带头机构细分如下行政命令强调机构间合作的必要性，但命令及其牵头机构分解如下：

财政部：关于与美联储合作特别感兴趣的中央银行数字货币或 CBDC 的报告。

司法部：对国会是否需要制定新法律以发布 CBDC 的法律评估。

美国财政部和主要市场和消费者保护监管机构：关于数字资产在市场和支付中的风险和回报的报告。

科技政策办公室：一份关于加密货币在跨时间跨度能源转型中的作用的报告。

司法部在财政部和国土安全部的帮助下：执法机构在“检测、调查和起诉与数字资产相关的犯罪活动”中的作用。

商务部：提高美国在数字资产技术方面的经济竞争力和利用的框架。（the block）[2022/8/29 12:54:16]

图一：受影响智能合约存在的mintToken问题

香港证监会已收到多个关于加密货币ETF的请求:11月3日消息，香港证券及期货事务监察委员会(SFC)副行政总裁暨执行董事Julia Leung表示，最近几个月，香港证券及期货事务监察委员会收到了本地公司的 一些请求，希望向其私人银行和专业客户提供加密货币相关的交易所交易基金(ETF)。然而，她没有对监管机构关于ETF的决定做出任何说明。（coindesk）[2021/11/3 6:29:12]

糟糕的是，我们已经发现有10余种存在此类问题的可交易Token，他们存在于23个包括Binance和OKex这样的顶级交易所，且目前交易量巨大，一旦被利用可以影响数以万计的投资者。

以下为披露此信息时，我们已经发现的10个存在此问题的Token。

安全问题二：可操纵的价格和不公平的套利行为

浙大网新投资趣链 将在多个金融相关领域进行基于区块链技术的应用研发 :浙大网新董事长史烈表示，该公司投资的趣链科技目前在银行票据、应收帐款、跨境结算和股权融资等多个金融相关领域进行基于区块链技术的应用研发，目前已经有农业银行、浙商银行等多个项目落地。网新在区块链的投资，也是希望在金融科技的发展布局中抢占先机。[2018/3/8]

存在问题的ERC20币种的智能合约有三个可调用方法：

1)setPrices:仅owner可访问，用来调整通过方法buy以及sell进行的token的买卖价格(即buyPrice/sellPrice)；

2)buy:公开且任意可访问方法，根据buyPrice购买token；

3)sell:公开且任意可访问方法，根据sellPrice购买token。

为描述方便起见，我们将buyPrice/sellPrice称之为owner可操纵价格，并将token在交易所的价格称为市场价格。

图二：可操纵和利用的智能合约接口

按理说，一个币种上交易所后，交易走量都需要通过交易平台，成交时的买卖价格也是和市场保持同步的。然而，我们在图二代码中发现，项目owner可以通过智能合约任意修改买入价和卖出价，完全不需要依照市场价格。这样以来「套利」空间就有了，套利者可以在Token市场价格略高通过接口定一个较低的买入价，然后再以市场价格卖出，套利者还可以用市场价格买入Token，再设定一个比市场价格高的价格卖出。不管怎样，这是一种干涉市场对流通Token「定价权」的行为，严重点讲已经控制了市场，对市场上其他投资者而言存在极大的不公平。

以下为披露信息时，我们已经发现的9个存在此问题的Token。

截至目前为止，已发现9个可交易的token，在26个交易所上线交易。其中如SUB、INT和SWFTC等token都在主流的交易所上线并拥有巨大的交易量和影响力。

其它安全问题

我们进一步研究发现，如图三和图四，sell或buy方法中存在整数溢出漏洞，项目owner在布局第二种套利行为的时候，可以设计一个套利陷阱，owner能够利用该漏洞损害普通用户应得的收益。

图三：受影响的买方智能合约类别

图四：受影响的卖方智能合约类别

通常来讲，传统股票证券市场存在这样的「割韭菜」套路，幕后大庄通过周期性低拉高抛来制造市场震荡来收割韭菜，利用的是不少散户投资者盲目追涨杀跌的心理。大多数情况下，数字货币市场的大部分割韭菜行为也是基于此市场化操盘来实现。我们最新发现的此种借助智能合约漏洞割韭菜的方式，不经过市场，以技术手段进行零成本收割，对数字货币市场的稳定性威胁极大。

6月9日，PeckShield发现了上述安全隐患，在评估了安全威胁之后第一时间通知了相关交易所，希望携手交易所来共同预防危机的发生。不少交易所(如币安)和项目方(如Substratum，即SUB)在得到通报后已积极做出了响应。详情请参见：https://peckshield.com/2018/06/11/tradeTrap。通过此次更详细的漏洞披露，我们可以看到安全漏洞背后的技术细节，也认识到此类安全问题存在的危害性，希望个多的交易所和项目方能够和我们通力合作，一同提高智能合约生态系统的安全性。

本文来源于非小号媒体平台：

链闻ChainNews

现已在非小号资讯平台发布1篇作品，

非小号开放平台欢迎币圈作者入驻

入驻指南：

/apply_guide/

本文网址：

/news/3626877.html

免责声明：

1.资讯内容不构成投资建议，投资者应独立决策并自行承担风险

2.本文版权归属原作所有，仅代表作者本人观点，不代表非小号的观点或立场

下一篇：

EOS主网上线为何难产？具体进展如何？

标签：TOKTOKEKENTOKENKaleido TokenBUX TokenBitcoin TokenSektor Token

KuCoin热门资讯