TOKEN:盜幣的不只是黑客，“一鍵發幣”平臺暗藏后門，暗地增發盜幣_tokencan交易所

相信各位朋友對代幣領域的“增發”這個概念已經不會陌生，比如泰達近期便在以太坊上頻繁增發ERC20標準的USDT，由于這是一種增加代幣流通量的行為，所以一直充滿爭議。當然，通常情況下，代幣的增發行為是公開的，有據可查，所以我們還可以及時反應，甚至與相關項目方干涉溝通，但是如果這種“增發”是毫無記錄的，甚至連項目方都不知道的呢？你可能會感到奇怪，竟然會有這樣的咄咄怪事？是的，近期北京鏈安就發現了在合約中設置后門，暗地增發Token并竊取的惡劣行為。近日，北京鏈安接到部分項目方反映，他們發布ERC20代幣后，還沒進一步向其它地址分發，就發現一些來源不明的代幣在鏈上轉賬，即這些代幣原始來源并非其合約創建時分配給官方地址的Token。同時，項目方也發現這些Token并非同名創建的其它合約產生的同名幣或“假幣”，更像是一種并非由其發起的“增發”。例如，一項目方便反映，他們觀察到以太坊鏈上其代幣HJL交易出現異常增發的情況，一些Token似乎在以太坊網絡上憑空產生，沒有生成記錄，說好的區塊鏈“不可篡改可追溯”呢？

分析 | BTC流量增速穩定，但幣安被盜幣影響人氣回落:據TokenInsight數據顯示，反映區塊鏈行業整體表現的TI指數北京時間05月08日8時報509.33點，較昨日同期上漲2.6點，漲幅為0.51%。此外，在TokenInsight密切關注的28個細分行業中，24小時內漲幅最高的為通用支付通證行業，漲幅為1.54%；24小時內跌幅最高的為存儲技術或協議行業，跌幅為5.97%。

?

據監測顯示，BTC活躍地址數和轉賬數分別較前日上升2.09%和10.43%。BCtrend分析師Jeffrey認為，BTC流量增速穩定，但幣安被盜幣影響人氣回落，短期延續調整。

?

另據BitUniverse量化分析，BNB在19.2$-25.4$之間寬幅震蕩，可網格高拋低吸獲利。[2019/5/8]

360伏爾甘團隊鄭文彬評黑客盜幣：有些交易所安全投入只有幾萬元:近日，韓國最大虛擬貨幣交易平臺Bithumb遭黑客入侵，約350億韓元（約合3200萬美元，2億人民幣）資產被盜。對此360集團助理總裁、360伏爾甘團隊負責人鄭文彬表示：目前可以說基本上所有區塊鏈公司的安全能力，都還不足以保護交易所和區塊鏈社區安全，還是需要有國際實力的安全公司加入。現在很多區塊鏈項目社區、數字貨幣交易所在安全上的投入僅僅有幾萬塊，一旦出現安全問題，損失動輒幾億，所以交易所和區塊鏈社區需要真正重視安全問題，加大事前投入而不是僅僅是事后彌補。[2018/6/21]

但是，據舉報問題的項目方反映，它們并未向0xfa6dd2b9976d67852cc4b3180f1ef8692c4ad87c轉賬，這個地址似乎有Token“從天而降”。

知道創宇404區塊鏈安全研究團隊發布預警 某虛擬貨幣正發生盜幣事件:近日知道創宇 404 區塊鏈安全研究團隊通過網絡空間搜索引擎 ZoomEye 發現有近兩千個某著名區塊鏈貨幣節點管理接口暴露在互聯網上，問題嚴重的是，這些暴露的節點管理接口不需要任何登陸密碼即可訪問登陸。知道創宇 404 區塊鏈安全研究團隊通過測試發現，通過更改管理接口，將造成節點 SDK 地址等重要信息泄露，而這些 SDK 地址同樣無需密碼登陸即可訪問，更為嚴重的是通過這些節點管理接口，可以惡意提交目的為任意地址的轉賬交易，實現盜幣行為！知道創宇 404 區塊鏈安全研究小組進一步跟進并通過部署對應蜜罐發現，已有惡意攻擊者通過這些暴露的節點管理接口盜取該虛擬貨幣，相關平臺應盡快自查節點安全，辨識錢包地址是否被篡改，知道創宇 404 區塊鏈安全研究團隊將持續跟進此次盜幣事件。[2018/5/14]

可以看到，上圖記錄中，合約創建后產生了4300萬枚HJL，轉賬到0xfee0c開頭地址，接著該地址轉入0x2ebecf開頭地址，接著我們看到了0xfa6dd2開頭地址的轉賬，顯然這個地址此前并未獲得官方創建的相關Token。于是，我們進一步查看了該Token的合約：https://cn.etherscan.com/address/

DAEX張華：大規模盜幣事件頻發，交易和資產托管分離是根本解決方案:昨日MyEtherWallet錢包被盜，用戶損失高達數百萬美元。目前錢包安全問題是數字資產行業的重大考驗，不僅是個人用戶，很多交易所都沒有自己的企業級錢包，沒有足夠的安全機制。對此，區塊鏈連續創業者，DAEX創始人張華表示： 構建銀行級安全錢包，將交易和資產托管分離，才是從根本上解決資產安全問題的關鍵，而這也是DAEX的使命。[2018/4/25]

終于，我們發現了玄機所在，智能合約在部署到鏈上時，在正常發布參數_totalSupply設置供應量的Token的同時，還向地址0xfA6DD2B9976d67852Cc4b3180f1Ef8692c4aD87c的賬戶上充值了總供應量1%的代幣，并且這1%的代幣并未計入總供應量中，就HJL而言，相當于實際發行了43000000+43000000*1%=43000000+430000=43430000HJL，而多出來的這些HJL似乎被這個地址給“偷”走了。

針對手機用戶的黑客盜幣行為悄然流行:IBM研究人員發現，以手機用戶作為目標人群來盜取數字貨幣的黑客行為正在流行。被發現的惡意程序有ExoBot、BankBot、Marcher和Mazar，這些程序一旦被啟動，嵌入其中的特洛伊木馬會將假冒屏幕覆蓋在合法應用程序的屏幕之上，用戶會不經意地向惡意軟件提交賬戶信息，黑客得以竊取數字資產。IBM表示，惡意軟件針對的數字貨幣包括BTC、BCH、ETH、LTC、XMR等。[2018/3/6]

從地址0xfa6dd2b9976d67852cc4b3180f1ef8692c4ad87c關于HJL的轉賬來看，它確實給人一種憑空獲得HJL的感覺，并轉出了330000HJL。

該地址內還剩下10萬枚HJL，和轉出的HJL加起來總額為43萬HJL，符合合約中的操作。我們進一步參看了該地址的轉賬記錄，發現有不止一個此類“天降橫財”式Token，都是未見轉入和合約調用，該地址直接向外轉出這些Token

這些項目的合約是不是也遇到類似問題呢？我們查詢了PhantomMatter(PHTM2)的合約：https://cn.etherscan.com/address/

不出意外的，我們看到了同樣的代碼，同樣的地址，同樣的百分之一增發式“偷取”策略，由此可見這實際上是相關合約留有后門，但是項目方表示并不知情，那么他們又是如何中招的呢。與項目方的溝通進一步了解到，其發幣合約并非自己開發，而是在一個名為“易代幣”的發幣平臺完成，接下來的問題就是在使用這個平臺的過程中：平臺的模板是否帶有這樣的代碼。如果帶有這樣的代碼，是否這本是其功能設置的一部分，或者是客戶支付費用的既定方式。如果有這樣的功能和設置，是否明示給客戶。

于是，我們在測試網上進行了測試，在網站上，用戶首先選擇發幣類型。

接著輸入名稱、符號、供應量等信息。

最后是支付相應的創建交易費用，然后確認就可以了，全程沒有任何地方提及會有最終合約代碼中產生的多發1%代幣并轉到其指定地址的行為，顯然這并不是一個其既有的面向客戶的功能或者設置。北京鏈安已經在測試網絡使用了該代幣生成網站并部署合約，從合約代碼來看，也看到了同樣的多發Token并竊取的行為，接收地址也是0xfa6dd2b9976d67852cc4b3180f1ef8692c4ad87c。由此可見，該網站以代幣發布平臺為名，在為客戶提供代幣發布服務的同時，在客戶不知情的情況下獲得代幣，一旦相關代幣可以交易流通，他們將可以將其賣出獲益。就0xfa6dd2b9976d67852cc4b3180f1ef8692c4ad87c地址關聯的項目而言，主要有：HJL(HJL)Moneyhome(MH)PhantomMatter(PHTM2)CRS(CRS)LibraPi(LP)SMART(SMART)UCC(UC)其中部分Token已經在交易所交易，我們也看到了涉事地址向相關交易所轉賬的記錄，可見其模式便是暗中多發1%的Token，待其中有幣上所便跟進賣出獲利。整個過程，我們發現項目方處于一種極不安全的“裸奔”狀態，在使用所謂的發幣平臺的時候，整個過程對它們是黑盒的，它們看到的只是些設置選項，根本不知道中間的貓膩。與此同時，盡管代碼部署并開驗證后會開源，但是使用這樣的平臺的項目方通常技術能力有限，不會去檢查其中的缺陷，而目前很多中小交易所上幣的時候也不會對項目方做代碼審計要求，這就造成這一代碼里如此“張揚”的后門通過層層關卡而未被及時堵截。在這里，北京鏈安提醒業內各方，對于涉及智能合約的開發請遵循相應的安全原則，如涉及外包開發請在對其能力評估的同時注意道德風險的評估。最后，智能合約的安全審計環節必不可少，請及時聯系專業的安全機構進行相應的安全檢測。

Tags：TOKENTOKEKENTOKKickToken（new）Endgame Tokentokencan交易所Truedeal Token

幣安app下載