文|嚯嚯
编辑|文刀
过去的一个月里,EOS、HT等币都出现了造假现象。而区块链安全公司的人士介绍,币圈的主流币种几乎都有假币的身影。
造假者通过智能合约,便可发行与代币名称、描述、Logo等一模一样的假代币,交易所、DApp、个人用户均是造假者盯准的对象。
唯一的破绽是真假币的合约地址的不同,但这对于普通持币者来说,还是一个不太容易识别的门槛,假代币常常会套走受害者的真资产。
当假代币流入币圈并变得越发猖狂后,资产安全问题无疑值得重视。
成都链安科技联合创始人高子扬表示,使用知名浏览器查看链上交易并注意代币状态,能有效防范假币。
交易所、DApp成假币输送对象
近日,EOS公链上出现10亿枚假币的消息令人关注。
CoinWind声明:请用户警惕PancakeSwap上的CowMoon假币:近日,CoinWind发现市场上已有打着CoinWind旗号在PancakeSwap上发行的假币CowMoon。在此,CoinWind郑重声明,CoinWind平台Token为COW,请广大用户注意防范风险,保护自身财产安全,并对打着ConinWind旗号发行代币的非法行为予以抵制。官方信息,请关注CoinWind官网及Twitter。[2021/6/7 23:17:10]
6月21日14点20分,Beosin成都链安发布安全预警,账户名为“larry5555555”的用户发行了10亿枚“EOS假币”并分发到了数个小号。据估算,此次伪造的数字货币账面市值超400亿元。
发现大量的假EOS后,成都链安迅速提醒项目方做应急措施和预警准备,必要时找安全公司进行代码审计,避免用户资产受损。
慢雾xToken被黑事件分析:两个合约分别遭受“假币”攻击和预言机操控攻击:据慢雾区消息,以太坊 DeFi 项目 xToken 遭受攻击,损失近 2500 万美元,慢雾安全团队第一时间介入分析,结合官方事后发布的事故分析,我们将以通俗易懂的简讯形式分享给大家。
本次被黑的两个模块分别是 xToken 中的 xBNTa 合约和 xSNXa 合约。两个合约分别遭受了“假币”攻击和预言机操控攻击。
一)xBNTa 合约攻击分析
1. xBNTa 合约存在一个 mint 函数,允许用户使用 ETH 兑换 BNT,使用的是 Bancor Netowrk 进行兑换,并根据 Bancor Network 返回的兑换数量进行铸币。
2. 在 mint 函数中存在一个 path 变量,用于在 Bancor Network 中进行 ETH 到 BNT 的兑换,但是 path 这个值是用户传入并可以操控的
3. 攻击者传入一个伪造的 path,使 xBNTa 合约使用攻击者传入的 path 来进行代币兑换,达到使用其他交易对来进行铸币的目的。绕过了合约本身必须使用 ETH/BNT 交易对进行兑换的限制,进而达到任意铸币的目的。
二)xSNXa 合约攻击分析
1. xSNXa 合约存在一个 mint 函数,允许用户使用 ETH 兑换 xSNX,使用的是 Kyber Network 的聚合器进行兑换。
2. 攻击者可以通过闪电贷 Uniswap 中 ETH/SNX 交易对的价格进行操控,扰乱 SNX/ETH 交易对的报价,进而扰乱 Kyber Network 的报价。从而影响 xSNXa 合约的价格获取
3. 攻击者使用操控后的价格进行铸币,从而达到攻击目的。
总结:本次 xToken 项目被攻击充分展现了 DeFi 世界的复杂性,其中针对 xSNXa 的攻击更是闪电贷操控价格的惯用手法。慢雾安全团队建议 DeFi 项目开发团队在进行 DeFi 项目开发的时候要做好参数校验,同时在获取价格的地方需要防止预言机操控攻击,可使用 Uniswap 和 ChainLink 的预言机进行价格获取,并经过专业的安全团队进行审计, 保护财产安全。详情见官网。[2021/5/13 21:57:48]
幸运的是,截至发稿时尚未有任何区块链项目方或交易所受到此次假币事件影响。
Tokenlon:LON代币尚未正式发行?请警惕假币局:9月25日,Tokenlon官方发布用户激励计划并发行LON代币。
目前,LON代币合约还未正式部署,现在宣称可流通、交易的LON均是假冒代币,请大家提高警惕。
同时,LON不会有任何资金募集,也不会有任何形式的代币销售,每个用户可通过Tokenlon贡献交易量免费获得。[2020/9/26]
这已经是6月以来的第二次假币事件,就在EOS假币预警出现的前一天,HT也出现了造假事件,有用户因此遭受资产损失。
6月20日,数字资产追踪平台CoinHunter监测到,有者通过声称可以1:177的比例,以ETH兑换“HT”,诱小白用户将ETH转入者的账户中。而这个所谓的“HT”只是者私自发行的假Token。
HT是火币基于以太坊公链发行的通用积分,火币数据显示,ETH和HT的兑换比例大约为1:78,远低于造假者所宣称的1:177。
精选 | Newdex回应EOS假币事件 用户利益并未受到伤害:Newdex今日针对假EOS攻击事件作出回应,媒体对于事件造成平台用户蒙受5.8万美元损失的报道与事实不符。事件中,Newdex及时启动应急措施,完成漏洞修复并发布公告。平台承担全部损失,用户资产并未受损。肇事黑客全数归还IQ、ADD,其转入Bitfinex交易所的资产已被冻结。[2018/9/20]
ETH和HT的兑换比例约为1:78
据CoinHunter披露,造假者通过诱贪便宜的用户,成功获得的金额已累计高达969个ETH,市值超200万元,其中单一用户最高被取885个ETH。
从两起假币事件可见,造假的目的直指置换真币。而据以往的案例看,造假者的目标已经不仅仅是普通的小白持币者,甚至直接盯上了一些公链,构建在公链上的DApp也成为了置换假币的场所。
4月12日,波场DAppTronbank曾遭受假币攻击,它将攻击者发行的无价值代币错误的识别为价值85万元的BTT代币,造成了巨额损失。
成都链安团队分析,该假币事件的主要原因在于Tronbank智能合约没有严格验证代币的唯一标识符,才让假币成功流入账户。
成都链安科技联合创始人高子扬告诉蜂巢财经,假币能否套现成功主要取决于交易所或项目方对代币的验证逻辑是否严密,“如果有关方验证不严就可能遭受假币。”
多数主流币遭造假
目前,“假币事件”已普遍出现在以太坊、波场、EOS等公链上。那么,为何这些公链会成为造假者的目标?
“事实上只要是没有对发币名称进行限制的公链,都会存在假币的现象。”去中心化交易所Newdex的技术人员告诉蜂巢财经,“假币攻击与造假原理基本相同。”
高子扬以市面上的假冒USDT举例,“目前几乎所有开放发币功能的公链都可以发重名代币,主要的方式是发行与目标币种同名且图标等信息相似的个人代币。”
USDT假币名单截图
他提供了一份USDT假币的统计图,其中出现的5个假币,有4个直接以“USDT”命名。而实际上,USDT是Tether公司推出的稳定币,发行和交易使用的是Omni协议,“真正的USDT在Omni协议上其实叫TetherUS。”
Omni协议上的USDT真身
打开EOS、以太坊、波场等公链的区块游览器,如果你检索BNB、OKB等知名项目,不难发现,同名Token广泛存在。
高子扬表示,假币的出现并非由于上述公链或代币本身存在漏洞,“发行同名代币本来是各大公链的合法业务场景,虽然有攻击者恶意利用了这项业务,但代币发行机制本身并没有问题。只是我们在使用代币的场景中要提高安全意识,仔细判断,避免受到而遭受损失。”
以EOS公链为例,由于EOS公链的智能合约并不对Token的名称进行唯一性的限制,因此任何人都可以发布名为EOS的代币。Newdex团队告诉蜂巢财经,辨别真假Token的唯一途径是判断币种合约的发行主体,也就是发行这个代币的EOS账户。
警惕低价诱惑防范个人交易
相比现实世界的法币,数字货币的发行成本非常低,智能合约带来“人人都能发币”的自由,也成为动机不良者的作恶工具。掌握一些防范方式成为数字货币持有者的必要技能。
据一名交易所从业者透露,通过智能合约发行的Token,唯一区分点就是合约地址,其他诸如代币名称、描述、接口等,均是智能合约内部的内容,没有限制。
上述人士认为,“造假成本不高,用户警觉性低,是假币得以猖狂的根本原因。针对个人用户,造假者通常会以代投、搬砖套利、量化交易、低价兑换等方式,向投资者取真币。”
交易所和项目方尚且可以通过技术手段辨别真假币种,那么对于小白用户来说,应该怎么样去防范这些假币?
Newdex告诉蜂巢财经,刚进币圈的用户往往没有辨别真假币的能力,因此最好通过靠谱的渠道进行OTC转账和交易,不要选择与个人直接交易,或者在信誉不够的第三方平台上进行操作。
对于有一定交易经验的币圈用户来说,高子扬的建议是使用知名浏览器查看链上交易,并注意代币的状态,“这样就能有效防范假币。”
如果实在无法辨别真假,慢雾安全团队给出建议,可以将数字钱包内的资产充值到交易所看能否充值成功,假数字资产充值到交易所不会到账。用户也可以向代币官方人员进行求证,“不过任何挂着交易所或者钱包Logo头像的人员并不一定就是真实的官方人员,因此在求证时,务必找准官方渠道。”
标签:EOSETHSDTUSDIEOSPrometheus TradingSDT价格Dola USD Stablecoin
据官方消息,B.CEO交易平台今日销毁3.65亿枚平台币CEOT,按目前价格计算超过4.5亿人民币。遵照平台前期百倍平台币规划部署,剩余平台币总量1500万枚,市场流通1000万,用不增发.
1900/1/1 0:00:00TST币股链裂变钱包已于北京时间2019年6月23日正式上线,将在6月24日-30日开启“百万TST注册空投”活动,注册即可领取200TST.
1900/1/1 0:00:00提起莱特币,币圈应该是无人不知,无人不晓。然而,大部分加密货币的爱好者只知道“比特金,莱特银”的口号,常常把它当作是一种便宜的比特币,稍微多了解的支持者或许还知道莱特币的区块间隔更短,总量更多.
1900/1/1 0:00:00ZETC“泽塔链”福利大放送:锁仓送USDT!走过四季,夏天的记忆该是最深刻的。在这个夏天,ZETC与你执掌相遇在CEO交易所里CEO交易所在06月12日上线ZETC,当日ZETC开盘24小时涨.
1900/1/1 0:00:00与“先行者”同行主持:徐道彬|《重启世界》中文主编、TheDAOClub共同发起人2019年6月18日。社交媒体巨头Facebook发布了备受关注的Libra稳定币项目白皮书.
1900/1/1 0:00:00截至07月03日10时,8BTCCI指数报17,738.03点,远高于纳斯达克综合指数,自发布日起全球Token市场表现好于证券市场表现.
1900/1/1 0:00:00