以太坊再爆安全漏洞 交易所的安全声明你还信嘛?|以太坊

918博天堂 2018-06-12 17:49 阅读:173

  又是安详裂痕,又和生意业务所有关。

  本日,区块链安详团队 PeckShield 曝光了名为 tradeTrap 的以太坊智能合约裂痕,该裂痕可让黑客随意操控币价、随意增发 Token,该裂痕已影响十余种可在生意业务所生意业务的 Token。停止文章宣布,涉及的生意业务所已乐成修复该裂痕。

  这个名叫 tradeTrap 的智能合约裂痕波及 700 多个 ERC-20 Token,个中也包罗 AI、SUB、NTO、TGT、FC、TBT 等 Token 在内的数十个已经在生意业务所生意业务的 Token,涉及币安、火币、OKEx、HitBTC、ZB、EtherDelta、IDEX 等 26 家生意业务所。

  该裂痕是本年发明的影响用户数量最大、涉及币种最多、涉及生意业务所最多的安详裂痕,据悉该裂痕大概有意或无意被开拓人员预留在智能合约中,若用意精采不会造成影响,可是假如被黑客滥用,可以轻松地实现犯科套利和操控价值的安详事件产生。

  史上影响范畴最大的智能合约裂痕细节曝光

  从 PeckShield 团队处相识到,tradeTrap 裂痕包罗多个已知的安详问题:

  (1)黑客可以通过 mintToken() 函数来随意增加 Token 余额(2)黑客可操作 setPrices() buy() sell() 三个函数来哄骗 Token 价值,而且举办不公正的套利行为(3)BuyTrap 和 SellTrap,可让购置者和出售者乐成付款后无法收到 Token 可能卖出后无法得到收入等。

  在存在 tradeTrap 裂痕的智能合约中,PeckShield 发明一个名为 mintToken() 的函数,该函数可被黑客用于随意向任一以太坊地点增发 Token 余额。

  一般来讲,该函数只能被合约拥有者节制利用,用于合约 Token 的增发。该函数主要用于 Token 预售阶段,项目方可操作该函数向私募投资者刊行相应的 Token,在预售竣事后理应遏制利用该函数。可是实际上,该函数在预售竣事后依旧可以随意利用。

  假如项目方并未曝光增发打算而滥用该函数,可以向任一以太坊地点增发项目 Token。凭空增发的 Token 数量,将会扰乱该 Token 的市场生意业务,给投资者带去损失。

  以存在该裂痕的 Substratum 为例,该项目标 Token 总量在各个平台上存在庞大差距,有恶意增发的嫌疑。

  EtherScan 中查询 SUB Token 合约地点中有 5.92 亿 Token,非小号、Coinmarketcap 等数据平台显示 SUB Token 刊行总量为 4.72 亿枚。区块律动 BlockBeats 也发明 Substratum 的白皮书中 Token 刊行量也有过多次改观,在 2017 年 8 月的白皮书中,其刊行数量为 6 亿 Token,在 12 月白皮书中,刊行数量为 2.26 亿。

  在与 PeckShield 团队相同后发明 Substratum 确实挪用过 mintToken() 函数,做过一次 5.8 亿枚 Token 的增发,说明该接口的裂痕确实有效可用。今朝该团队已经 Medium 颁发声明暗示仅在测试网络利用过该函数,并未在生意业务后举办过增发。

以太坊再爆安详裂痕 生意业务所的安详声明你还信嘛?|以太坊

  别的一个安详问题存在于价值哄骗上。在呈现这类问题的智能合约中,有 setPrice()、buy()、sell() 三个函数,该函数只能由智能合约拥有者举办节制,可以划定 Token 的购置和销售价值。公家可以直接利用 buy()、sell() 函数来举办 Token 的交易行为。

  仔细阅读合约代码就会发明,在该合约中 Token 的价值是由合约的所有人来举办节制的,可是市场中畅通 Token 的购置和销售价值其实应该由市场来抉择,该裂痕让黑客有可乘之机,可以或许哄骗价值套利。

  在受到此裂痕影响的智能合约中,用户是可以通过智能合约的 buyPrice 和 sellPrice 与项目方举办生意业务的,好比 EOS 的众筹就是这种可以答允用户与合约举办生意业务,与此同时 EOS 又可以在生意业务所举办生意业务。可是智能合约中的 buyPrice 和 sellPrice 数值并不能与市场举办实时更新,在更新进程中发生的合约价值与市场价值的差距,就形成了套利空间。

  在某些环境下,心怀不轨的生意业务所可以操作该裂痕来低价买入 Token,然后充币到生意业务所后再凭据市场高价卖出,形成生意业务所本身举办的套利,这实际上是违背贸易道德的行为。

  今朝该裂痕影响了 INT、SUB、SWFTC 等的 Token,这些 Token 正在 OKEx、火币、HitBTC、IDEX、EtherDelta 等生意业务所举办生意业务。

  生意业务所已经修复 tradeTrap 裂痕,用户可安详生意业务

  因为之前 360 在 EOS 裂痕曝光后的公关行为给市场造成了庞大的影响,导致大量投资人因为信息相同不畅而造成资产损失,PeckShield 团队抉择不在裂痕发明的第一时间将裂痕向公家曝光,而是与生意业务所举办相同确认和修复后再陈诉裂痕详情,担保裂痕传递流程的合规。

版权声明
本文由918博天堂整理发布,转载请注明出自以太坊再爆安全漏洞 交易所的安全声明你还信嘛?|以太坊https://www.guanlixuejia.com/news/49518.html