投资者瞬间资产归零,交易所怎一个“漏洞”就能交代

慢雾科技6月29日发布的以太坊代币“假充值”漏洞攻击预警有了最新进展。

记者了解到,以太坊代币“假充值”漏洞影响面非常之广,影响对象至少包括:相关中心化交易所、中心化钱包、代币合约等。单代币合约,不完全统计就有3619 份存在“假充值”漏洞风险,其中不乏知名代币。

业内人士表示,相关不严谨的编码方式是一种安全缺陷,这种安全缺陷可能会导致特殊场景下的安全问题。攻击者可以利用存在该缺陷的代币合约向中心化交易所、钱包等服务平台发起充值操作,如果交易所仅判断如TxReceipt Status是success的情况就以为充币成功,就可能存在“假充值”漏洞。

那么,存在“假充值”漏洞风险的代币该怎么办呢?

慢雾科技认为,这些代币最好的方式是重发,然后新旧代币做好“映射”。因为这类代币如果不这样做,会像个“定时炸弹”。

在修复方案中,除了判断交易事务 success 之外,还应二次判断充值钱包地址的 balance 是否准确的增加。其实这个二次判断可以通过 Event 事件日志来进行,很多中心化交易所、钱包等服务平台会通过 Event 事件日志来获取转账额度,以此判断转账的准确性。

针对网上爆出的有交易所和钱包出现了以太坊代币“假充值”问题,IOST官方表示,经团队迅速调查后发现IOST合作的交易所均采取了安全的转账验证,不存在“假充值”风险。

7月10日,区块链安全研究团队知道创宇404发现,通过微软Azure云部署的以太坊节点会默认自动安装一个名为“Blockchain Admin”管理程序,在默认情况下这个程序是对外直接开放访问,并且没有任何密码认证措施。攻击者通过该程序功能提交钱包地址和转账数量进行转账。

数字货币交易市场的安全问题无论是平台方还是投资者都非常关注,可是不断爆出的安全漏洞,使得本就萎靡的数字货币市场雪上加霜。

细数年初以来各大交易所的安全漏洞,简直触目惊心。

年初,Coincheck遭受黑客攻击,26万客户共损失4亿美元,NEM市值遭遇重创,24小时内下跌超过16%。

3月7日晚间,币安遭入侵导致加密货币市场大动荡,黑客利用盗用用户的账号高价买入VIA,导致VIA最高点价格被爆拉至0.025美元,与24H内最低点相比涨幅超过11000%。

3月30日,加密货币交易所OKEx发布公告称,有异常账户通过大量异常操作,导致BTC季度合约价格异常,大幅偏离指数。

4月22日13时左右,BEC出现异常交易,应BeautyChain (BEC)项目方的要求,暂停BEC交易和提现。

4月25日,SMT被曝出类似BEC的漏洞,项目方反馈当日凌晨发现其交易存在异常问题。4月25日,MyEtherWallet发推特说他们的DNS 被污染,导致部分用户进入到了假的网站,从而导致ETH被盗。

5月22日,OKEx出现严重Bug,可以无限“钱生钱”。 5月24日,据慢雾区消息,EDU智能合约出现漏洞,可转走任意账户的 EDU Token。

5月29日,360公司Vulcan(伏尔甘)团队发现了区块链平台EOS的一系列高危安全漏洞。经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。

6月10日,韩国加密货币交易所 Coinrail 称系统遭遇“网络入侵”,损失超过 4000 万美元。

每月都在爆发的交易平台漏洞,动辄几千万美金一夜之间灰飞烟灭。再加上大佬互怼割韭菜,岂止一个乱字可以概括币圈之浊。目前,币圈乱就乱在,不仅仅项目方可以肆无忌惮割韭菜,交易所还能时不时出现一个“漏洞”,使得投资者资金瞬间归零。

韭菜1.jpg

 

韭菜们的钱到底好不好赚呢?看看上面这张图片,无论真假,人们心里也会有数了。

Be the first to comment

Leave a Reply