TRANS:以太坊代币「假充值」漏洞细节披露，至少 3619 份代币存在该风险

作者：

时间：1900/1/1 0:00:00

近日，据慢雾区消息，以太坊代币「假充值」漏洞影响面非常之广，影响对象至少包括：相关中心化交易所、中心化钱包、代币合约等。

慢雾区透露，仅代币合约，据不完全统计就有3619份存在「假充值」漏洞风险，其中不乏知名代币。慢雾安全团队分析此次影响可能会大于USDT「假充值」漏洞攻击事件，由于这不仅是漏洞，而是真实发生的攻击，相关项目方应尽快自查。

对于至少3619份存在「假充值」漏洞风险的代币，慢雾区认为，一般来说最好的方式是重发，并做好新旧代币映射。因为这类代币如果不这样做，会像个「定时炸弹」，你不可能期望所有中心化交易所、中心化钱包等平台方都能做好安全对接，一旦没做好这个「假充值」漏洞的判断，那损失的可是这些平台方。而如果平台方损失严重，对整个市场来说必然也是一种损失。

今早，「慢雾区」公众号发布了以太坊代币「假充值」漏洞细节披露及修复方案，以下为披露全文：

披露时间线

神话起源CEO谈毅：以太坊GAS和速度以及智能合约是未来突破的方向:金色财经现场报道，在8月8日由金色财经主办的金色沙龙活动中，神话起源CEO谈毅在主题《哪些Web3叙事将引领下轮牛市》的圆桌会议中表示，以太坊有三个大家可以关注的点，以及存在的核心价值。一个是GAS，一个是速度，一个是智能合约，这是以太坊做这么大的核心。换句话说，未来的突破也在这三个方向上。

以GAS和速度为例，一个是2.0的升级，今年下半年能不能如期推出，推出以后的效果，能不能像人们预期的那样。这有可能是一下子给加密资产带来一个新的台阶。做L2的团队，也在L2层面上解决这个问题，一个是速度，一个是GAS。第三个是智能合约，以太坊就是行业标准。它从NFT开始，ERC-721以后，还有EIP-1159，今年好像也有新的智能合约的协议会提交出来做审核。所以如果从这三个点上突破的话，以太坊的价值和生态能进一步的扩大和提升。尤其是智能合约。今年可以看到有很多创新想法，随着NFT往下发展，在用新的智能合约做，这都是以太坊可以关注的点。

此外，他还表示，游戏资产能天然跟区块链做融合，既符合有非常大的资产价格波动性，又是可触及的。通过可触及的方式，让更多的圈外人进来。[2023/8/8 21:32:31]

以太坊代币「假充值」漏洞影响面非常之广，影响对象至少包括：相关中心化交易所、中心化钱包、代币合约等。单代币合约，我们的不完全统计就有3619份存在「假充值」漏洞风险，其中不乏知名代币。相关项目方应尽快自查。由于这不仅仅是一个漏洞那么简单，这已经是真实在发生的攻击！出于影响，我们采取了负责任的披露过程，这次攻击事件的披露前后相关时间线大致如下：

以太坊L2网络总锁仓量为41.2亿美元:金色财经报道，L2BEAT数据显示，截至12月28日，以太坊Layer2上总锁仓量为41.2亿美元，7日内跌幅为3.16%。其中锁仓量最高的为扩容方案Arbitrum，约22.1亿美元，占比54.3.71%；其次是Optimism，锁仓量为11.1亿美元，占比27.12%；第三为dYdX，锁仓量为3.9亿美元，占比9.48%[2022/12/28 22:12:51]

2018/6/28慢雾区情报，USDT「假充值」漏洞攻击事件披露

2018/7/1慢雾安全团队开始分析知名公链是否存在类似问题

2018/7/7慢雾安全团队捕获并确认以太坊相关代币「假充值」漏洞攻击事件

2018/7/8慢雾安全团队分析此次影响可能会大于USDT「假充值」漏洞攻击事件，并迅速通知相关客户及慢雾区伙伴

2018/7/9慢雾区对外发出第一次预警

报告：稳定币及以太坊交易频率高于比特币比特币主要用于长期投资:金色财经报道，据区块链取证初创公司Chainalysis的最新研究报告，2021年第一季度，交易量排名前四的加密货币类别为稳定币（8690亿美元）、ETH（8400亿美元）、wETH（6350亿美元）及BTC（6230亿美元）。按钱包持有者类别分类，73%的比特币由投资者持有，而以太坊仅为58%，ERC-20版本USDT为43%。与此同时，只有7%的比特币由交易员持有，他们倾向于通过在更广泛的资产之间进行交易来寻求短期收益，而以太坊为18%，ERC-20版本USDT为14%。Chainalysis得出结论：1.比特币的主要用例是长期投资；2.以太坊的交易频率高于比特币，其主要用途是为新型DeFi平台提供动力；3.诸如Tether之类的稳定币是交易最频繁的加密资产类型，主要的两个用例是在交易所进行交易结算和在交易者等待新的交易机会时将资金存入交易所。[2021/7/2 0:21:25]

2018/7/10慢雾安全团队把细节同步给至少10家区块链生态安全同行

以太坊跌破2200美元/枚:行情显示，以太坊跌破2200美元/枚，日内跌幅逾8%。[2021/4/23 20:50:08]

2018/7/11细节报告正式公开

漏洞细节

以太坊代币交易回执中status字段是0×1(true)还是0×0(false)，取决于交易事务执行过程中是否抛出了异常。当用户调用代币合约的transfer函数进行转账时，如果transfer函数正常运行未抛出异常，该交易的status即是0×1(true)。

如图代码，某些代币合约的transfer函数对转账发起人(msg.sender)的余额检查用的是if判断方式，当balances<_value时进入else逻辑部分并returnfalse，最终没有抛出异常，我们认为仅if/else这种温和的判断方式在transfer这类敏感函数场景中是一种不严谨的编码方式。而大多数代币合约的transfer函数会采用require/assert方式，如图：

以太坊轻钱包MetaMask即将发布桌面扩展8.0版本:以太坊轻钱包MetaMask宣布即将发布桌面扩展8.0版本，目前正在就该版本的发布寻找候选测试人员。[2020/6/11]

当不满足条件时会直接抛出异常，中断合约后续指令的执行，或者也可以使用EIP20推荐的if/elserevert/throw函数组合机制来显现抛出异常，如图：

我们很难要求所有程序员都能写出最佳安全实践的代码，这种不严谨的编码方式是一种安全缺陷，这种安全缺陷可能会导致特殊场景下的安全问题。攻击者可以利用存在该缺陷的代币合约向中心化交易所、钱包等服务平台发起充值操作，如果交易所仅判断如TxReceiptStatus是success就以为充币成功，就可能存在「假充值」漏洞。如图：

参考示例TX：

https://etherscan.io/tx/0x9fbeeba6c7c20f81938d124af79d27ea8e8566b5e937578ac25fb6c68049f92e

修复方案

除了判断交易事务success之外，还应二次判断充值钱包地址的balance是否准确的增加。其实这个二次判断可以通过Event事件日志来进行，很多中心化交易所、钱包等服务平台会通过Event事件日志来获取转账额度，以此判断转账的准确性。但这里就需要特别注意合约作恶情况，因为Event是可以任意编写的，不是强制默认不可篡改的选项：

emitTransfer(from,to,value);//value等参数可以任意定义

作为平台方，在对接新上线的代币合约之前，应该做好严格的安全审计，这种安全审计必须强制代币合约方执行最佳安全实践。

作为代币合约方，在编码上，应该严格执行最佳安全实践，并请第三方职业安全审计机构完成严谨完备的安全审计。

后记Q&A

Q：为什么我们采取这种披露方式？A：本质是与攻击者赛跑，但是这个生态太大，我们的力量不可能覆盖全面，只能尽我们所能去覆盖，比如我们第一时间通知了我们的客户，然后是慢雾区伙伴的客户，再然后是关注这个生态的安全同行的客户，最终不得不披露出细节。

Q：为什么说披露的不仅仅是漏洞，而是攻击？A：其实，以我们的风格，我们一般情况下是不会单纯去提漏洞，漏洞这东西，对我们来说太普通，拿漏洞来高调运作不是个好方式。而攻击不一样，攻击是已经发生的，我们必须与攻击者赛跑。披露是一门艺术，没什么是完美的，我们只能尽力做到最好，让这个生态有安全感。

Q：至少3619份存在「假充值」漏洞风险，这些代币该怎么办？A：很纠结，一般来说，这些代币最好的方式是重发，然后新旧代币做好「映射」。因为这类代币如果不这样做，会像个「定时炸弹」，你不可能期望所有中心化交易所、中心化钱包等平台方都能做好安全对接，一旦没做好这个「假充值」漏洞的判断，那损失的可是这些平台方。而如果平台方损失严重，对整个市场来说必然也是一种损失。

Q：有哪些知名代币存在「假充值」漏洞？A：我们不会做点名披露的事。

Q：有哪些交易所、钱包遭受过「假充值」漏洞的攻击？A：恐怕没人会公开提，我们也不会点名。

Q：这些代币不重发是否可以？A：也许可以，但不完美。不选择重发的代币要么很快是发布主网就做“映射”的，要么得做好通知所有对接该代币的平台方的持续性工作。

Q：为什么慢雾可捕获到这类攻击？A：我们有健壮的威胁情报网络，捕获到异常时，我们默认直觉会认为这是一种攻击。

Q：除了USDT、以太坊代币存在「假充值」漏洞风险，还有其他什么链也存在？A：暂时不做披露，但相信我们，「假充值」漏洞已经成为区块链生态里不可忽视的一种漏洞类型。这是慢雾安全团队在漏洞与攻击发现史上非常重要的一笔。

链闻ChainNews：提供每日不可或缺的区块链新闻。

来源链接：www.8btc.com

本文来源于非小号媒体平台：

链闻速递

现已在非小号资讯平台发布1篇作品，

非小号开放平台欢迎币圈作者入驻

入驻指南：