您现在的位置:新闻首页>长坊新闻

以太坊再爆安全漏洞,交易所的安全声明你还信

2018-07-10 16:57编辑:gdxmjs.com人气:


以太坊再爆安全漏洞,交易所安全声明你还信嘛?

2018-06-12 09:43 来源:Bianews 区块链 /Beats

原标题:以太坊再爆安全漏洞,交易所的安全声明你还信嘛?

文:0x2

以太坊再爆安全漏洞,交易所的安全声明你还信

又是安全漏洞,又和交易所有关。

今天,区块链安全团队 PeckShield 曝光了名为 tradeTrap 的以太坊智能合约漏洞,该漏洞可让黑客随意操控币价、随意增发 Token,该漏洞已影响十余种可在交易所交易的 Token。截至文章发布,涉及的交易所已成功修复该漏洞。

这个名叫 tradeTrap 的智能合约漏洞波及 700 多个 ERC-20 Token,其中也包括 AI、SUB、NTO、TGT、FC、TBT 等 Token 在内的数十个已经在交易所交易的 Token,涉及币安、火币、OKEx、HitBTC、ZB、EtherDelta、IDEX 等 26 家交易所。

该漏洞是今年发现的影响用户数量最大、涉及币种最多、涉及交易所最多的安全漏洞,据悉该漏洞可能有意或无意被开发人员预留在智能合约中, 魔域私服,若用意良好不会造成影响,但是如果被黑客滥用,可以轻松地实现非法套利和操控价格的安全事件发生。

史上影响范围最大的智能合约漏洞细节曝光

区块律动 BlockBeats 从 PeckShield 团队处了解到,tradeTrap 漏洞包括多个已知的安全问题:

(1)黑客可以通过 mintToken() 函数来随意增加 Token 余额(2)黑客可利用 setPrices() buy() sell() 三个函数来操纵 Token 价格,并且进行不公平的套利行为(3)BuyTrap 和 SellTrap,可让购买者和出售者成功付款后无法收到 Token 或者卖出后无法获得收入等。

以太坊再爆安全漏洞,交易所的安全声明你还信

在存在 tradeTrap 漏洞的智能合约中,PeckShield 发现一个名为 mintToken() 的函数,该函数可被黑客用于随意向任一以太坊地址增发 Token 余额。

一般来讲,该函数只能被合约拥有者控制使用,用于合约 Token 的增发。该函数主要用于 Token 预售阶段, 魔域私服,项目方可利用该函数向私募投资者发行相应的 Token,在预售结束后理应停止使用该函数。但是实际上,该函数在预售结束后依旧可以随意使用。

如果项目方并未曝光增发计划而滥用该函数,可以向任一以太坊地址增发项目 Token。凭空增发的 Token 数量,将会扰乱该 Token 的市场交易,给投资者带去损失。

以存在该漏洞的 Substratum 为例,该项目的 Token 总量在各个平台上存在巨大差距,有恶意增发的嫌疑。

EtherScan 中查询 SUB Token 合约地址中有 5.92 亿 Token,非小号、Coinmarketcap 等数据平台显示 SUB Token 发行总量为 4.72 亿枚。区块律动 BlockBeats 也发现 Substratum 的白皮书中 Token 发行量也有过多次变更,在 2017 年 8 月的白皮书中,其发行数量为 6 亿 Token,在 12 月白皮书中,发行数量为 2.26 亿。

在与 PeckShield 团队沟通后发现 Substratum 确实调用过 mintToken() 函数,做过一次 5.8 亿枚 Token 的增发,说明该接口的漏洞确实有效可用。目前该团队已经 Medium 发表声明表示仅在测试网络使用过该函数,并未在交易后进行过增发。

以太坊再爆安全漏洞,交易所的安全声明你还信

另外一个安全问题存在于价格操纵上。在出现这类问题的智能合约中,有 setPrice()、buy()、sell() 三个函数,该函数只能由智能合约拥有者进行控制,可以规定 Token 的购买和销售价格。公众可以直接使用 buy()、sell() 函数来进行 Token 的买卖行为。

仔细阅读合约代码就会发现,在该合约中 Token 的价格是由合约的所有人来进行控制的,但是市场中流通 Token 的购买和销售价格其实应该由市场来决定,该漏洞让黑客有可乘之机,能够操纵价格套利。

在受到此漏洞影响的智能合约中,用户是可以通过智能合约的 buyPrice 和 sellPrice 与项目方进行交易的,比如 EOS 的众筹就是这种可以允许用户与合约进行交易,与此同时 EOS 又可以在交易所进行交易。但是智能合约中的 buyPrice 和 sellPrice 数值并不能与市场进行及时更新,在更新过程中产生的合约价格与市场价格的差距,就形成了套利空间。

在某些情况下,心怀不轨的交易所可以利用该漏洞来低价买入 Token,然后充币到交易所后再按照市场高价卖出,形成交易所自己进行的套利,这实际上是违背商业道德的行为。

目前该漏洞影响了 INT、SUB、SWFTC 等的 Token,这些 Token 正在 OKEx、火币、HitBTC、IDEX、EtherDelta 等交易所进行交易。

交易所已经修复 tradeTrap 漏洞,用户可安全交易

(来源:长坊新闻网)

织梦二维码生成器
已推荐
0
  • 凡本网注明"来源:的所有作品,版权均属于中,转载请必须注明中,http://www.gdxmjs.com。违反者本网将追究相关法律责任。
  • 本网转载并注明自其它来源的作品,目的在于传递更多信息,并不代表本网赞同其观点或证实其内容的真实性,不承担此类作品侵权行为的直接责任及连带责任。其他媒体、网站或个人从本网转载时,必须保留本网注明的作品来源,并自负版权等法律责任。
  • 如涉及作品内容、版权等问题,请在作品发表之日起一周内与本网联系,否则视为放弃相关权利。






图说新闻

更多>>