昨晚見了一波很久沒見的朋友,哈希菌聽他們聊天時(shí)說起有個(gè)幣爆出漏洞的事兒。幣種千千萬,不是每個(gè)哈希菌都了解都清楚,昨天朋友們聊的就是我的知識(shí)盲區(qū)了——UET。
UET,全稱 Useless Ethereum Token,翻譯過來就是“沒用的以太坊token”?我懷疑創(chuàng)始人是在逗我。
哈希查了一下非小號(hào),沒有任何介紹,一片空白。只顯示了一部分艾西歐的信息。
當(dāng)時(shí)的眾籌均價(jià)是1美分,約人民幣一毛二,現(xiàn)在價(jià)格8分,也就是破發(fā)了。
然后哈希去找了它的官網(wǎng),顯示頁面如下:
原本以為小伙伴們約著喝茶聊天是要跟我分享一些有可能翻百倍的幣,不說百倍,來個(gè)五倍十倍也是美滋滋的。
然鵝,并不是說行情,而是說漏洞。
據(jù)哈希的了解,曾經(jīng)被曝過溢出盜幣漏洞的UselessEthereumToken(UET) 在交易所持續(xù)頻繁交易,并且單日漲幅達(dá)9.09%。
雖然漏洞被曝了出來,并且眾所周知了,但UET依然堂而皇之的在交易所進(jìn)行交易。
這樣的現(xiàn)象,讓我們不得不懷疑,這是交易所故意做的局,欺騙市場上絕大多數(shù)完全不懂代碼的韭菜。因?yàn)楫?dāng)時(shí)Etherscan就報(bào)道過,而Etherscan只有碼農(nóng)會(huì)光顧。
2018年5月漏洞播報(bào)文章
Etherscan上漏洞示警圖片
除了Etherscan之外,Armors Labs曾于今年4月發(fā)現(xiàn)UET存在盜幣漏洞,并將其列入Armors IDS監(jiān)控名單。
安全的transferFrom函數(shù),應(yīng)該對(duì)allowed[_from][msg.sender]授權(quán)額度和轉(zhuǎn)賬金額value進(jìn)行判斷。正確的做法是需要allowed[_from][msg.sender] > value。
UET誤將>寫作<=,導(dǎo)致攻擊者都可以從任何人的地址中轉(zhuǎn)走全部代幣。
于是最終,這個(gè)漏洞使得一度飆到0.08美元的UET曇花一現(xiàn),站在山峰上還沒來得及欣賞美景就迅速跌落懸崖。
就像其名字一樣,變得useless——毫無價(jià)值。
除了UET之外,在短短不到兩個(gè)月的時(shí)間里,BEC、SMT、EDU、BAI又接連曝出盜幣漏洞,給投資者造成重大經(jīng)濟(jì)損失,對(duì)市場產(chǎn)生非常惡劣影響。
現(xiàn)在絕大部分的交易所都已經(jīng)越來越重視合約審計(jì),以求最大程度上保護(hù)用戶財(cái)產(chǎn)的安全。畢竟,只有用戶財(cái)產(chǎn)安全得到最大的全方位的保護(hù),才能保障整個(gè)區(qū)塊鏈?zhǔn)澜绲暮椭C穩(wěn)定發(fā)展。
為了盡量避免悲劇接二連三的頻繁發(fā)生,Armors Labs于5月中旬上線了入侵檢測(cè)系統(tǒng)IDS內(nèi)測(cè)版。針對(duì)歷史經(jīng)典漏洞進(jìn)行形式化特征值采集分析,并對(duì)目前市值前2000名代幣交易記錄和200余家交易所交易數(shù)據(jù)進(jìn)行監(jiān)控。通過IDS AI模塊學(xué)習(xí)經(jīng)典漏洞攻擊事件中代幣和交易所交易曲線波動(dòng)情況,對(duì)醞釀或發(fā)生的攻擊行為產(chǎn)生的異常波動(dòng)進(jìn)行發(fā)出預(yù)警。
6月6日,也就是昨天,IDS檢測(cè)到UET與漏洞關(guān)聯(lián)合約RemiCoin (RMC)產(chǎn)生多筆異常交易。UET在交易所HitBtc有大筆交易行為。
攻擊者極有可能已經(jīng)在其他交易所布局做空某熱門代幣,然后通過盜取UET,在HitBtc進(jìn)行大筆交易兌換Eth,而后使用Eth購買目標(biāo)代幣,最后砸盤做空。
目前Armors Labs已經(jīng)向HitBtc交易所發(fā)出緊急警報(bào),希望其盡快下架UET交易。并且Armors Labs已經(jīng)對(duì)IDS系統(tǒng)進(jìn)行臨時(shí)擴(kuò)容,全力監(jiān)控HitBtc交易所所有代幣的交易行為,如果發(fā)現(xiàn)某幣種有做空動(dòng)態(tài),會(huì)第一時(shí)間發(fā)出預(yù)警。
預(yù)警只是盡量減少攻擊造成的損失,從源頭出發(fā),在智能合約撰寫和審計(jì)環(huán)節(jié)嚴(yán)格把控,才能真正杜絕智能合約安全漏洞。
Armors Labs 在3月,開源了智能合約安全開發(fā)引擎armors-solidity。使用armors-solidity進(jìn)行智能合約開發(fā),可以快速開發(fā)安全無漏洞的ERC20標(biāo)準(zhǔn)合約。在此基礎(chǔ)上,可以通過個(gè)性化定制,開發(fā)鎖倉、空投、投票、眾籌等功能模塊。
哈希覺得這個(gè)項(xiàng)目還是挺贊的,大家可以多了解一下~
推薦閱讀
火拼預(yù)熱618,愛上街iPhone X 6999搶先購
火拼618,制造新生活搶先購!致力于讓年輕人“花更少,買更好”的分期購物商城——愛上街,已拉開618活動(dòng)序幕。此次活動(dòng)將從6月1日一直持續(xù)至21日,天天有驚喜,大牌產(chǎn)品全場超低價(jià),更有iPhone X 6999元搶先購!>>>詳細(xì)閱讀
本文標(biāo)題:秘密武器助力,我截獲了一波黑客的砸盤做空行情!
地址:http://www.brh9h.cn/a/05/306330.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示