火星链 火星链
Ctrl+D收藏火星链

TOKE:智能合约后门揭秘:盗币的不只是黑客,“一键发币”平台暗藏后门

作者:

时间:1900/1/1 0:00:00

相信各位朋友对代币领域的“增发”这个概念已经不会陌生,比如泰达近期便在以太坊上频繁增发ERC20标准的USDT,由于这是一种增加代币流通量的行为,所以一直充满争议。当然,通常情况下,代币的增发行为是公开的,有据可查,所以我们还可以及时反应,甚至与相关项目方干涉沟通,但是如果这种“增发”是毫无记录的,甚至连项目方都不知道的呢?你可能会感到奇怪,竟然会有这样的咄咄怪事?是的,近期北京链安就发现了在合约中设置后门,暗地增发Token并窃取的恶劣行为。

近日,北京链安接到部分项目方反映,他们发布ERC20代币后,还没进一步向其它地址分发,就发现一些来源不明的代币在链上转账,即这些代币原始来源并非其合约创建时分配给官方地址的Token。同时,项目方也发现这些Token并非同名创建的其它合约产生的同名币或“假币”,更像是一种并非由其发起的“增发”。

例如,一项目方便反映,他们观察到以太坊链上其代币HJL交易出现异常增发的情况,一些Token似乎在以太坊网络上凭空产生,没有生成记录,说好的区块链“不可篡改可追溯”呢?

共享房屋租赁平台DTravel完成首个智能合约度假租赁预订:金色财经报道,去中心化共享房屋租赁平台DTravel周四表示,已完成首次成功的智能合约预订。Dtravel的第一个基于智能合约的预订经过数月努力使网站对用户更加友好,同时仍然坚持Web3的原则。由币安支持的旅游预订网站Travala.com于2021年6月首次宣布发布Dtravel平台,并于2021年11月推出初始版本。(coindesk)[2022/8/4 12:02:47]

该项目地址如下:https://cn.etherscan.com/token/0xf6CBA5729E9137149A278db075b53f429aa31C54

这是增发造成的吗?从真正意义上的增发来说,我们认为应该是相关项目发起方或授权方主动发起了一种增加Token供应量的行为,正常情况下,代币的增发有以下几个条件:

智能合约支持增发代币。

增发代币的权限通常由智能合约owner账户持有。

这种情况下,我们应该在链上看到增发的记录,比如ERC20USDT的增发就会有类似这样的记录:

以太坊ERC-721智能合约数量创历史新高:金色财经报道,CoinMetrics周二发布的报告显示,由于最近的“NFT热潮”,以太坊上ERC-721智能合约的数量达到了约19000的历史新高。研究人员指出,NFT市场仍有很大的增长空间。[2021/3/26 19:19:15]

但是,据举报问题的项目方反映,它们并未向0xfa6dd2b9976d67852cc4b3180f1ef8692c4ad87c转账,这个地址似乎有Token“从天而降”。

可以看到,上图记录中,合约创建后产生了4300万枚HJL,转账到0xfee0c开头地址,接着该地址转入0x2ebecf开头地址,接着我们看到了0xfa6dd2开头地址的转账,显然这个地址此前并未获得官方创建的相关Token。

于是,我们进一步查看了该Token的合约:https://cn.etherscan.com/address/0xf6CBA5729E9137149A278db075b53f429aa31C54#contracts

Arweave发布新智能合约语言环境 支持用户电脑运行而非节点:用于永久存储数据的区块链网络Arweave发布了一种全新的智能合约运行方式SmartWeave。据介绍,Arweave上的智能合约将由用户的电脑运行,而不是区块链本身。SmartWeave允许区块链免除gas费用,并且只要求智能合约的代码按需运行,而不是由网络上的每个节点运行。

Arweave的Sam Williams称:“SmartWeave是建立在Arweave网络之上的一种新的智能合约语言环境,使用名为‘惰性评估’的新型评估方式,将智能合约执行的计算负担从网络节点转移至智能合约的用户。”(CoinDesk)[2020/6/11]

终于,我们发现了玄机所在,智能合约在部署到链上时,在正常发布参数_totalSupply设置供应量的Token的同时,还向地址0xfA6DD2B9976d67852Cc4b3180f1Ef8692c4aD87c的账户上充值了总供应量1%的代币,并且这1%的代币并未计入总供应量中,就HJL而言,相当于实际发行了43000000+43000000*1%=43000000+430000=43430000HJL,而多出来的这些HJL似乎被这个地址给“偷”走了。

现场 | 卡内基梅隆大学著名科学家Peter Chen:智能合约需要在四个方面做出改进:据CoinTime现场报道,美西时间9月13日,在圣何塞举办的Blockworld 2018区块链开发者及技术峰会上,卡内基梅隆大学著名科学家Peter Chen指出,相比传统合约,智能合约具有执行自动、时间快,无需第三方,无需实体签名,无需纸质文本,成本较低等特点,因此更加安全,成本更低廉。但从另一个角度来讲,其不可篡改性也将会影响其性能;没有守门人导致有可能出现与其他程序出现不良交互现象;没有实现与现实世界法律互动;也因证明“程序正确”的难题以及可能发生的不良影响带来的安全问题。智能合约有以下方面得到改进,如:解决复杂问题、在某些场景下引入守门人、确定谁以及怎样做最后决定,提高之行合约的性能。Peter Chen也指出,不要过度吹嘘智能合约,真正的“智能”来自社区。[2018/9/14]

从地址0xfa6dd2b9976d67852cc4b3180f1ef8692c4ad87c关于HJL的转账来看,它确实给人一种凭空获得HJL的感觉,并转出了330000HJL。

Abra将使用莱特币网络上的智能合约:莱特币的创始人查理·李(Charlie Lee)最近在推特上宣布,移动钱包Abra将使用运行在Litecoin s网络上的智能合同。[2018/3/26]

该地址内还剩下10万枚HJL,和转出的HJL加起来总额为43万HJL,符合合约中的操作。

我们进一步参看了该地址的转账记录,发现有不止一个此类“天降横财”式Token,都是未见转入和合约调用,该地址直接向外转出这些Token

这些项目的合约是不是也遇到类似问题呢?我们查询了PhantomMatter(PHTM2)的合约:https://cn.etherscan.com/address/0xbcc4bcc7577e4042d45ae189ba6c0b264d7bab34#code

不出意外的,我们看到了同样的代码,同样的地址,同样的百分之一增发式“偷取”策略,由此可见这实际上是相关合约留有后门,但是项目方表示并不知情,那么他们又是如何中招的呢。

与项目方的沟通进一步了解到,其发币合约并非自己开发,而是在一个名为“易代币”的发币平台完成,接下来的问题就是在使用这个平台的过程中:

平台的模板是否带有这样的代码。

如果带有这样的代码,是否这本是其功能设置的一部分,或者是客户支付费用的既定方式。

如果有这样的功能和设置,是否明示给客户。

于是,我们在测试网上进行了测试,在网站上,用户首先选择发币类型。

接着输入名称、符号、供应量等信息。

最后是支付相应的创建交易费用,然后确认就可以了,全程没有任何地方提及会有最终合约代码中产生的多发1%代币并转到其指定地址的行为,显然这并不是一个其既有的面向客户的功能或者设置。

北京链安已经在测试网络使用了该代币生成网站并部署合约,从合约代码来看,也看到了同样的多发Token并窃取的行为,接收地址也是0xfa6dd2b9976d67852cc4b3180f1ef8692c4ad87c。由此可见,该网站以代币发布平台为名,在为客户提供代币发布服务的同时,在客户不知情的情况下获得代币,一旦相关代币可以交易流通,他们将可以将其卖出获益。

就0xfa6dd2b9976d67852cc4b3180f1ef8692c4ad87c地址关联的项目而言,主要有:

HJL(HJL)

Moneyhome(MH)

PhantomMatter(PHTM2)

CRS(CRS)

LibraPi(LP)

SMART(SMART)

UCC(UC)

其中部分Token已经在交易所交易,我们也看到了涉事地址向相关交易所转账的记录,可见其模式便是暗中多发1%的Token,待其中有币上所便跟进卖出获利。

整个过程,我们发现项目方处于一种极不安全的“裸奔”状态,在使用所谓的发币平台的时候,整个过程对它们是黑盒的,它们看到的只是些设置选项,根本不知道中间的猫腻。与此同时,尽管代码部署并开验证后会开源,但是使用这样的平台的项目方通常技术能力有限,不会去检查其中的缺陷,而目前很多中小交易所上币的时候也不会对项目方做代码审计要求,这就造成这一代码里如此“张扬”的后门通过层层关卡而未被及时堵截。

在这里,北京链安提醒业内各方,对于涉及智能合约的开发请遵循相应的安全原则,如涉及外包开发请在对其能力评估的同时注意道德风险的评估。最后,智能合约的安全审计环节必不可少,请及时联系专业的安全机构进行相应的安全检测。

标签:KENTOKETOKENTOKROIMA INC TokenPlayGame TokenDILI TokenOscar Token

以太坊最新价格热门资讯
DAI:MakerDAO为提高流动性,考虑添加USDC作为新抵押品

来源:CointelegraphChina编者注:原标题为《MakerDAO为提高流动性,考虑提供对USDC抵押品的支持》 数据:过去24小时里Maker DSR池的DAI数量已增加超2亿枚:金.

1900/1/1 0:00:00
COI:观点:比特币只能用来应对一种特殊的危机,那就是法币系统的潜在崩溃

来源:LongHash编者注:原标题为《观点:比特币不是新冠肺炎的避风港,而是法币的避风港》在2019年,很多人认为比特币是一种“避风港资产”。然而,到了2020年这个“避风港”已经失职.

1900/1/1 0:00:00
BTC:预测 | 数据显示BTC到6月破万的概率只有16%

随着比特币持续大幅波动,人们也倾向于从诸多解读中寻找更可靠的“价值发现”逻辑。作为以数据为基础的研究机构,ArcaneResearch也从宏观经济、交易及链上数据等方面,为我们解析了比特币自“3.

1900/1/1 0:00:00
BIT:3.12 黑天鹅:加密市场结构的崩溃

编者注:本文作了不改变作者原意的删减。前言:3.12黑天鹅事件是怎么发生?为什么会导致两次大跌?作者从加密市场结构的角度入手,剖析了当前加密市场的独有特征,其中包括跨交易所套利效率问题、比特币和.

1900/1/1 0:00:00
MOVI:MOV产品设计之道

MOV项目从立项之初就是一个非常创新的产品,当前没有一款和MOV类似的产品或者系统,将跨链、开放式网关、链上撮合等等集成到一起,每一项都有一定创新,组合形成的累加效应更是关键.

1900/1/1 0:00:00
HAI:Chainalysis报告:谁在抛售比特币?

本文来源:小葱,原题《抛售还会继续吗?暴跌期间流入交易所的BTC有多少易手?有多少尚未出售?》Chainalysis发布针对此次比特币暴跌发布了一份分析报告.

1900/1/1 0:00:00