TOKE:多个可交易 ERC20 币种存在严重安全隐患,可人为操纵币价套利

近日,区块链安全公司PeckShield向链闻透露:多个已经在主流交易所上线的ERC20币种的智能合约代码存在严重的安全隐患,「攻击者」可通过公开的接口,以「零成本」技术手段实施割韭菜套利行为。

PeckShield调查发现,目前已知有700多个ERC20币种存在此类问题。我们已经证实了至少有数十个币种已经在包括币安、火币以及OKex在内的主流交易所公开上线交易,且交易量巨大。其中最大币种市值已达1.5亿美金,全部币种共影响波及数十万投资者。

众所周知,交易所控着着数字货币资产的流进和流出,作为一个数字资产中转枢纽,交易所自诞生以来漏洞和安全事件就层出不穷,数年来,围绕交易所出现的黑客攻击事件,已造成超百亿美元的损失。然而,这仅仅是明面上技术漏洞诱发的黑客攻击事件,幕后还有借助智能合约代码漏洞实施操纵币价展开不公平套利行为。

Optimism治理代币OP或于今日推出并上线多个中心化交易所:5月31日消息,根据第三方的多个公告,Optimism即将推出的治理代币OP可能会在今天推出,并将上线中心化交易所。

包括OKX、LBank、MEXC和AAX在内的几家交易所已经发布了官方公告,宣布计划在今天晚些时候在不同时间上线OP代币。截至目前Optimism还没有发表官方声明。(The Block)[2022/6/1 3:53:59]

PeckShield研究大量智能合约代码发现,攻击者可使用如下两种技术手段来操纵币价:

安全问题一:项目owner可无限增发Token

存在问题的ERC20币种智能合约有一个仅owner可调用的方法:mintToken,这个可被owner用于增发token。通常一个项目在上交易所之前即预售期,增发行为尚算合理,项目方定向空投一些Token给特定地址,目的是为了激励社区用户参与活跃度。但在交易所上线可正常交易后,此种借助智能合约的增发行为会让项目owner空手套利,会严重影响市场平衡。

联合早报:区块链网络平台TradeTrust将为全球200多个国家和地区提供跨境数字贸易:今日,联合早报发布《制定法令建设数字金融与数字贸易》一文,文章提到:“最近,另一值得关注、推动全球数字贸易的重大计划,是新加坡资讯通信媒体发展局和环球银行金融电信协会(SWIFT)携手合作,利用区块链技术创建具有互操作性(interoperability),称为TradeTrust的网络平台,能衔接来自海内外政府部门与机构和商界的不同数字贸易平台,以方便和撮合各个平台之间交换数字贸易文件。

这项计划预计能为全球200多个国家和地区的1万1000个SWIFT信息技术用户,提供更便捷和具成本效益的跨境数字贸易。”[2020/11/9 12:03:51]

图一:受影响智能合约存在的mintToken问题

糟糕的是,我们已经发现有10余种存在此类问题的可交易Token,他们存在于23个包括Binance和OKex这样的顶级交易所,且目前交易量巨大,一旦被利用可以影响数以万计的投资者。

行情 | BitMax交易平台多个币种24小时涨幅超5%:据BitMax(BTMX.COM)官网显示,截止今日11:00其平台上多个币种24小时涨幅超5%:MIX(22.86%)、BTMX(13.34%)、ETC(12.26%)、DUO(8.87%)、RNT(8.69%)、ATOM(8.61%)、UAT(6.09%)、FRM(5.05%)。其中BTMX为BitMax平台币,BitMax支持ETC和ATOM 5倍杠杆交易,支持BTMX3倍杠杆交易,更多详情请您登录BitMax平台官网BTMX.COM查看。[2019/12/27]

以下为披露此信息时,我们已经发现的10个存在此问题的Token。

安全问题二:可操纵的价格和不公平的套利行为

存在问题的ERC20币种的智能合约有三个可调用方法:

独家 | ”FOMOShort”旁氏局持续 庄家创建多个高危马甲合约:继昨天RatingToken安全团队对”MOFO”合约的报道后,FOMO Short庞氏局还在持续,今日该子地址又创建了多个代码完全一样的合约,怀疑为分渠道行做准备。据RatingToken合约审计团队深入调查,发现FOMOShort完全抄袭了FOMO3D的代码,并将自己的合约取名为“MOFO”,仅仅是”FOMO\"字母的倒置,并做了玩法的微创新,将24小时倒计时改为了1小时倒计时。FOMOShort同时还存在admin可以操作用户资产的漏洞,该合约在Ratingtoken.net的检测得分仅为2分,为最高风险等级,玩家请勿参与此旁氏游戏,否则将随时面临被盗取ETH资金的危险。[2018/7/21]

1)setPrices:仅owner可访问,用来调整通过方法buy以及sell进行的token的买卖价格(即buyPrice/sellPrice);

2)buy:公开且任意可访问方法,根据buyPrice购买token;

3)sell:公开且任意可访问方法,根据sellPrice购买token。

为描述方便起见,我们将buyPrice/sellPrice称之为owner可操纵价格,并将token在交易所的价格称为市场价格。

图二:可操纵和利用的智能合约接口

按理说,一个币种上交易所后,交易走量都需要通过交易平台,成交时的买卖价格也是和市场保持同步的。然而,我们在图二代码中发现,项目owner可以通过智能合约任意修改买入价和卖出价,完全不需要依照市场价格。这样以来「套利」空间就有了,套利者可以在Token市场价格略高通过接口定一个较低的买入价,然后再以市场价格卖出,套利者还可以用市场价格买入Token,再设定一个比市场价格高的价格卖出。不管怎样,这是一种干涉市场对流通Token「定价权」的行为,严重点讲已经控制了市场,对市场上其他投资者而言存在极大的不公平。

以下为披露信息时,我们已经发现的9个存在此问题的Token。

截至目前为止,已发现9个可交易的token,在26个交易所上线交易。其中如SUB、INT和SWFTC等token都在主流的交易所上线并拥有巨大的交易量和影响力。

其它安全问题

我们进一步研究发现,如图三和图四,sell或buy方法中存在整数溢出漏洞,项目owner在布局第二种套利行为的时候,可以设计一个套利陷阱,owner能够利用该漏洞损害普通用户应得的收益。

图三:受影响的买方智能合约类别

图四:受影响的卖方智能合约类别

通常来讲,传统股票证券市场存在这样的「割韭菜」套路,幕后大庄通过周期性低拉高抛来制造市场震荡来收割韭菜,利用的是不少散户投资者盲目追涨杀跌的心理。大多数情况下,数字货币市场的大部分割韭菜行为也是基于此市场化操盘来实现。我们最新发现的此种借助智能合约漏洞割韭菜的方式,不经过市场,以技术手段进行零成本收割,对数字货币市场的稳定性威胁极大。

6月9日,PeckShield发现了上述安全隐患,在评估了安全威胁之后第一时间通知了相关交易所,希望携手交易所来共同预防危机的发生。不少交易所(如币安)和项目方(如Substratum,即SUB)在得到通报后已积极做出了响应。详情请参见:https://peckshield.com/2018/06/11/tradeTrap。通过此次更详细的漏洞披露,我们可以看到安全漏洞背后的技术细节,也认识到此类安全问题存在的危害性,希望个多的交易所和项目方能够和我们通力合作,一同提高智能合约生态系统的安全性。

本文来源于非小号媒体平台:

链闻ChainNews

现已在非小号资讯平台发布1篇作品,

非小号开放平台欢迎币圈作者入驻

入驻指南:

/apply_guide/

本文网址:

/news/3626877.html

免责声明:

1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险

2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场

下一篇:

EOS主网上线为何难产?具体进展如何?

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

[0:0ms0-0:934ms