以太坊再爆安全漏洞:多个可交易ERC20币种存严重安全隐患,可人为操纵币价套利

区委会 2018-06-11

关注我们

后台接收最新白皮书及研究报告

关注


近日,区块链安全公司PeckShield向包括火币、币安以及OKex等多个主流交易所发出安全警报称:多个已经在主流交易所上线的ERC20币种的智能合约代码存在严重的安全隐患,该漏洞可让黑客随意操控币价、随意增发 Token。

PeckShield调查发现,目前已知有700多个ERC20币种存在此类问题。已经证实了至少有数十个币种已经在包括币安、火币以及OKex在内的主流交易所公开上线交易,且交易量巨大。其中最大币种市值已达1.5亿美金,全部币种共影响波及数十万投资者。此漏洞是今年发现的影响用户数量最大、涉及币种最多、涉及交易所最多的安全漏洞,据悉该漏洞可能有意或无意被开发人员预留在智能合约中,如被黑客滥用,“攻击者”可通过公开的接口,以“零成本”技术手段实施割韭菜套利行为。

截至文章发布,涉及的交易所已成功修复该漏洞。

根据PeckShield公布的细节,攻击者可使用如下两种技术手段来操纵币价:


安全问题一:项目owner可无限增发Token

存在问题的ERC20币种智能合约有一个仅owner可调用的方法:

mintToken,这个可被 owner用于增发token。通常一个项目在上交易所之前即预售期,增发行为尚算合理,项目方定向空投一些Token给特定地址,目的是为了激励社区用户参与活跃度。但在交易所上线可正常交易后,此种借助智能合约的增发行为会让项目owner空手套利,会严重影响市场平衡。

图一:受影响智能合约存在的mintToken 问题

糟糕的是,我们已经发现有10余种存在此类问题的可交易Token,他们存在于23个包括Binance和OKex这样的顶级交易所,且目前交易量巨大,一旦被利用可以影响数以万计的投资者。

以下为披露此信息时,我们已经发现的10个存在此问题的Token。

 

安全问题二:可操纵的价格和不公平的套利行为

存在问题的ERC20币种的智能合约有三个可调用方法:

1) setPrices: 仅owner可访问,用来调整通过方法buy以及sell进行的token的买卖价格 (即buyPrice / sellPrice);

2) buy: 公开且任意可访问方法,根据buyPrice购买token;

3) sell: 公开且任意可访问方法,根据sellPrice购买token。

为描述方便起见,我们将buyPrice /sellPrice称之为owner可操纵价格,并将token在交易所的价格称为市场价格。

图二:可操纵和利用的智能合约接口

按理说,一个币种上交易所后,交易走量都需要通过交易平台,成交时的买卖价格也是和市场保持同步的。然而,我们在上图代码中发现,项目owner可以通过智能合约任意修改买入价和卖出价,完全不需要依照市场价格。这样一来“套利”空间就有了,套利者可以在 Token市场价格略高通过接口定一个较低的买入价,然后再以市场价格卖出,套利者还可以用市场价格买入Token,再设定一个比市场价格高的价格卖出。不管怎样,这是一种干涉市场对流通Token“定价权”的行为,严重点讲已经控制了市场,对市场上其他投资者 而言存在极大的不公平。

截至目前为止,已发现9个可交易的token,在26个交易所上线交易。其中如SUB、INT 和SWFTC等token都在主流的交易所上线并拥有巨大的交易量和影响力。

以下为披露信息时,我们已经发现的9个存在此问题的Token。

 

其它安全问题

我们进一步研究发现,如图三和图四,sell或buy方法中存在整数溢出漏洞,项目owner 在布局第二种套利行为的时候,可以设计一个套利陷阱,owner能够利用该漏洞损害普通 用户应得的收益。

图三:受影响的买方智能合约类别

图四:受影响的卖方智能合约类别

通常来讲,传统股票证券市场存在这样的“割韭菜”套路,幕后大庄通过周期性低拉高抛来 制造市场震荡来收割韭菜,利用的是不少散户投资者盲目追涨杀跌的心理。大多数情况下,数字货币市场的大部分割韭菜行为也是基于此市场化操盘来实现。我们最新发现的此种借助 智能合约漏洞割韭菜的方式,不经过市场,以技术手段进行零成本收割,对数字货币市场的稳定性威胁极大。


交易所已经修复 tradeTrap 漏洞

PeckShield由前360首席科学家、美国北卡州立大学终身教授蒋旭宪博士于2018年创办,团队核心成员为海归博士。该团队曾提交过大量漏洞报告,并多次获得谷歌、高通、三星、华为等厂商致谢及奖金。在2014年全球首次发现了特斯拉汽车的应用程序安全漏洞。PeckShield在5月底刚刚宣布完成了数千万元天使轮融资,投资方为高榕资本。

前不久,360刚刚曝光了EOS 漏洞,并借之进行了高调公关行为,对市场造成了巨大影响。PeckShield 团队则采取了不同的策略,他们决定先与交易所进行沟通确认和修复,然后再报告漏洞详情,没有在第一时间将漏洞向公众曝光,保证漏洞通报流程的合规。

截止,据相关媒体消息,币安、火币、OKEx、OKCoinKR、CoinEgg、Kucoin、Allcoin、HitBTC、Bitbns、ZB、OTCBTC、CoinBene、COSS、Etherdelta、ForkDelta、IDEX、YEX、Tidex、Radar Relay、Yobit、WazirX、CoinExchange、CoinSpot、Bluetrade、CEX、LiveCoin等 26 家交易所均已确认漏洞,币安等交易所已与 SUB 项目方确认漏洞无重大影响,用户可以放心交易。

在数字货币世界,交易所控着着数字货币资产的流进和流出,作为中转枢纽,交易所自诞生以来漏洞和安全事件就层出不穷,数年来,围绕交易所出现的黑客攻击事件,已造成超百亿美元的损失。

而最近,更是有交易所随意上币,完全不走投票上币的流程。玉红借助三点钟社区影响力开发的纯概念社区币XMX上线了火币、没有任何实质信息的BEC上线了OKEx,市场中漫天飞上币宣传和一夜暴富的讯息,投资者看到的是真假难辨的消息,而其中隐藏的利益相关、内幕交易、无底线炒作却如毒瘤,为各种区块链安全事件埋下伏笔。

区块链的核心意义是去中心化,但在币圈,交易所却成了“中心化”的黑洞。交易所的安全问题,遇到一个处理一个,但在预防和第一时间通知用户止损的方面,却鲜有进步。屡次爆出的智能合约漏洞问题,仅仅是修复后恢复上线,而为此付出代价的,永远是看着资产缩水却毫无办法的投资者们。

入群    请进后台回复“小秘书”拉进群。分享行业干货、接收最新资讯、免费精选资料领取,大咖课程分享。

 福利   试试后台回复“京东白皮书”、“鲸准报告”“区块链革命”、“普华永道”、“哈佛”、“三点钟”、“词典”、“电子书”、“学习”、“体系设计”、“交易报告”,获得最新精选资料包。

 招聘   编辑×2,实习生×3,商务×2。请后台回复“招聘”获得具体信息。

  更多精彩内容请点击关键词  

深度好文   比特币“搬砖人” | 2018年ICO预测 工作量证明 | 委内瑞拉石油币 | 比特币丢失 大佬“东游记”  | 如何发币 | 周鸿祎读过最好的文章 | 分叉 | 火币上币投票 | 朝鲜“拉撒路” 币安岛国恩怨  

大佬说      薛蛮子 |  蔡文胜 | 孙宇晨 | 达鸿飞 | 3点钟不眠区块链群 赵长鹏 | 李笑来 | 朱啸虎 | 陈伟星 | 王峰十问李笑来 | 王小川

区块链+     情色  |  维基百科 | 区块链普及化 | 网易星球 | 婚恋网站 | 食品安全 | SNH48

    觉得不错,分享给更多人看到