TOKEN:智能合約再爆安全漏洞，交易所的安全聲明你還信嘛？

編者按：本文來自區塊律動BlockBeats，作者：0x2，星球日報經授權轉載。又是安全漏洞，又和交易所有關。今天，區塊鏈安全團隊PeckShield曝光了名為tradeTrap的智能合約漏洞，該漏洞可讓黑客隨意操控幣價、隨意增發Token，該漏洞已影響十余種可在交易所交易的Token。截至文章發布，涉及的交易所已成功修復該漏洞。這個名叫tradeTrap的智能合約漏洞波及700多個ERC-20Token，其中也包括AI、SUB、NTO、TGT、FC、TBT等Token在內的數十個已經在交易所交易的Token，涉及幣安、火幣、OKEx、HitBTC、ZB、EtherDelta、IDEX等26家交易所。該漏洞是今年發現的影響用戶數量最大、涉及幣種最多、涉及交易所最多的安全漏洞，據悉該漏洞可能有意或無意被開發人員預留在智能合約中，若用意良好不會造成影響，但是如果被黑客濫用，可以輕松地實現非法套利和操控價格的安全事件發生。史上影響范圍最大的智能合約漏洞細節曝光

神話起源CEO談毅：以太坊GAS和速度以及智能合約是未來突破的方向:金色財經現場報道，在8月8日由金色財經主辦的金色沙龍活動中，神話起源CEO談毅在主題《哪些Web3敘事將引領下輪牛市》的圓桌會議中表示，以太坊有三個大家可以關注的點，以及存在的核心價值。一個是GAS，一個是速度，一個是智能合約，這是以太坊做這么大的核心。換句話說，未來的突破也在這三個方向上。

以GAS和速度為例，一個是2.0的升級，今年下半年能不能如期推出，推出以后的效果，能不能像人們預期的那樣。這有可能是一下子給加密資產帶來一個新的臺階。做L2的團隊，也在L2層面上解決這個問題，一個是速度，一個是GAS。第三個是智能合約，以太坊就是行業標準。它從NFT開始，ERC-721以后，還有EIP-1159，今年好像也有新的智能合約的協議會提交出來做審核。所以如果從這三個點上突破的話，以太坊的價值和生態能進一步的擴大和提升。尤其是智能合約。今年可以看到有很多創新想法，隨著NFT往下發展，在用新的智能合約做，這都是以太坊可以關注的點。

此外，他還表示，游戲資產能天然跟區塊鏈做融合，既符合有非常大的資產價格波動性，又是可觸及的。通過可觸及的方式，讓更多的圈外人進來。[2023/8/8 21:32:31]

區塊律動BlockBeats從PeckShield團隊處了解到，tradeTrap漏洞包括多個已知的安全問題：黑客可以通過mintToken()函數來隨意增加Token余額黑客可利用setPrices()buy()sell()三個函數來操縱Token價格，并且進行不公平的套利行為BuyTrap和SellTrap，可讓購買者和出售者成功付款后無法收到Token或者賣出后無法獲得收入等。在存在tradeTrap漏洞的智能合約中，PeckShield發現一個名為mintToken()的函數，該函數可被黑客用于隨意向任一以太坊地址增發Token余額。一般來講，該函數只能被合約擁有者控制使用，用于合約Token的增發。該函數主要用于Token預售階段，項目方可利用該函數向私募投資者發行相應的Token，在預售結束后理應停止使用該函數。但是實際上，該函數在預售結束后依舊可以隨意使用。如果項目方并未曝光增發計劃而濫用該函數，可以向任一以太坊地址增發項目Token。憑空增發的Token數量，將會擾亂該Token的市場交易，給投資者帶去損失。以存在該漏洞的Substratum為例，該項目的Token總量在各個平臺上存在巨大差距，有惡意增發的嫌疑。EtherScan中查詢SUBToken合約地址中有5.92億Token，非小號、Coinmarketcap等數據平臺顯示SUBToken發行總量為4.72億枚。區塊律動BlockBeats也發現Substratum的白皮書中Token發行量也有過多次變更，在2017年8月的白皮書中，其發行數量為6億Token，在12月白皮書中，發行數量為2.26億。在與PeckShield團隊溝通后發現Substratum確實調用過mintToken()函數，做過一次5.8億枚Token的增發，說明該接口的漏洞確實有效可用。目前該團隊已經Medium發表聲明表示僅在測試網絡使用過該函數，并未在交易后進行過增發。另外一個安全問題存在于價格操縱上。在出現這類問題的智能合約中，有setPrice()、buy()、sell()三個函數，該函數只能由智能合約擁有者進行控制，可以規定Token的購買和銷售價格。公眾可以直接使用buy()、sell()函數來進行Token的買賣行為。仔細閱讀合約代碼就會發現，在該合約中Token的價格是由合約的所有人來進行控制的，但是市場中流通Token的購買和銷售價格其實應該由市場來決定，該漏洞讓黑客有可乘之機，能夠操縱價格套利。在受到此漏洞影響的智能合約中，用戶是可以通過智能合約的buyPrice和sellPrice與項目方進行交易的，比如EOS的眾籌就是這種可以允許用戶與合約進行交易，與此同時EOS又可以在交易所進行交易。但是智能合約中的buyPrice和sellPrice數值并不能與市場進行及時更新，在更新過程中產生的合約價格與市場價格的差距，就形成了套利空間。在某些情況下，心懷不軌的交易所可以利用該漏洞來低價買入Token，然后充幣到交易所后再按照市場高價賣出，形成交易所自己進行的套利，這實際上是違背商業道德的行為。目前該漏洞影響了INT、SUB、SWFTC等的Token，這些Token正在OKEx、火幣、HitBTC、IDEX、EtherDelta等交易所進行交易。交易所已經修復tradeTrap漏洞，用戶可安全交易

智能合約代幣和DeFi行業遭受重大損失:金色財經報道，在過去的24小時內，加密經濟的總體價值對美元貶值超過了5%，與此同時，頂級智能合約代幣領域在同一時間范圍內損失了超過8%。這一下滑也影響了去中心化金融（defi）領域，在過去一天內，defi鎖定的總價值嚴重接近跌破400億美元的范圍，貶值了5.65%。[2023/6/11 21:29:31]

因為之前360在EOS漏洞曝光后的公關行為給市場造成了巨大的影響，導致大量投資人因為信息溝通不暢而造成資產損失，PeckShield團隊決定不在漏洞發現的第一時間將漏洞向公眾曝光，而是與交易所進行溝通確認和修復后再報告漏洞詳情，保證漏洞通報流程的合規。創始人蔣旭憲告訴區塊律動BlockBeats，「我們不希望漏洞第一時間曝光會給市場帶來負面影響，畢竟tradeTrap漏洞涉及多個正在交易所交易的Token，隨意地曝光可能會給市場帶去恐慌，給廣大投資者造成不必要的損失。」目前幣安、火幣、OKEx、OKCoinKR、CoinEgg、Kucoin、Allcoin、HitBTC、Bitbns、ZB、OTCBTC、CoinBene、COSS、Etherdelta、ForkDelta、IDEX、YEX、Tidex、RadarRelay、Yobit、WazirX、CoinExchange、CoinSpot、Bluetrade、CEX、LiveCoin等26家交易所均以確認漏洞，幣安等交易所已與SUB項目方確認漏洞無重大影響，用戶可以放心交易。但是我們不禁要問下面這個問題：為何總是等到安全團隊出馬才能修復漏洞？自從4月份開始有安全團隊曝光區塊鏈安全漏洞以來，都是安全團隊率先通報漏洞，然后涉事的交易所、項目方才跟進的，總是慢一步。區塊律動BlockBeats無數次地在安全漏洞發生后向涉事方發出質問，尤其是交易所，我們是否做好了審核工作？所謂的上幣審核是否只是一個形式流程？而最近多家交易所更是隨意上幣，完全不走投票上幣的流程。OKEx上幣了一個沒有任何是實質信息的BEC、火幣上了玉紅的純概念社區幣XMX、幣安上線涉嫌誤導消費者的QuarkChain，投資者看到的是媒體撲天蓋地的宣傳和潛在的投資機會，但區塊律動BlockBeats看到的卻是利益關聯、內幕交易，這種「走關系」的行為不僅毫無安全性可言，更是為區塊鏈安全事件埋下了「伏筆」。以上面提到的set/buy/sellPrice漏洞為例，交易所是完全有機會利用這個合約漏洞來低價買入Token，隨后在市場高漲的時候賣出，實現套利，或者利用低成本Token來操縱幣價，以此獲得利潤。但是為了避免這種事情敗露，交易所的充幣地址會定期更換，導致Token在流向交易所后就失去了蹤跡。對于調查員來說，交易所是目前整個區塊鏈生態系統中最大的黑洞，所有的去中心化、透明手段在經過中心化交易所這一手之后，都將變得無法追蹤，使區塊鏈本身失去了意義。交易所目前面對安全問題的處理方法是遇到一個，處理一個，對于未來可能出現的安全問題，不采取任何預防措施，也不會在問題發生時及時通知用戶來止損，對于已經出現問題的Token，也沒有任何有效的補救措施。比如最近發生的EDU合約漏洞，火幣網的做法僅僅是應項目方要求修復漏洞后重新上幣交易而已，受損的投資者，只能看著自己的資產余額下降。中心化的交易所應該承擔安全問題為投資者帶來的經濟損失，雖然虛擬貨幣為高風險的投資項目，但承擔上幣審核和交易安全的是交易所，保證交易安全和資金安全是中心化的交易所義不容辭的責任。雖然區塊律動BlockBeats對過度宣傳的陳偉星不感冒，但還是希望他的「透明計劃」能有效地地推進下去，是時候管管交易所了。

智能合約中USDC供應量百分比已上升至42.08%:金色財經報道，Glassnode 3 月 27 日發布的最新報告強調，智能合約中 USDC 供應量的百分比有望飆升。數據表明該百分比已上升至 42.08%，創六個月高點。USDT 在智能合約中的供應量占比為 14.0%，今年最高占比僅為 14.7%。這表明 USDC 被更廣泛地用于與智能合約相關的交易。[2023/3/28 13:30:37]

聲音 | 彭楓：智能合約交易可以減少人工干預:金色財經現場報道，在今日舉辦的金融界2018夏季達沃斯之夜＋區塊鏈思享會上，中國人民銀行數字貨幣研究所規劃部負責人彭楓提出了自己的創新思路，認為區塊鏈可以做到數據上鏈登記，包括三流信息同步，多方信息一致，全新數據存儲結構，算法保障安全可信，對等協作新模式；全方位數據驗證，包括開放賬本體系，內部共識驗證，外部交叉驗證，共享驗證存證，探索跨鏈交互；信息穿透，包括底層資產信息披露，信息安全可信，動態數據更新，信息全局一致，滿足多方需求；智能合約交易，包括減少人工干預，簡化流程執行，公開透明交易，自動強制執行，創新業務探索等。[2018/9/17]

智能合約先行者Nick Szabo：不要放棄去中心化:在上周四于紐約舉行的會議上，Nick Szabo，1996年首次提出開發智能合約概念的密碼學專家，他敦促觀眾不要忽視區塊鏈最初的承諾。“我只是想強調信任最小化和去中心化的好處，”他在參與智能合同小組討論時說， “傳統的銀行模式是‘我們相信自己，你為什么不相信我們？'”他繼續說道，認為客戶可能不信任銀行，“他們甚至可能會恨你。”[2018/4/22]

Tags：TOKENKENTOKETOKCamelTokenPLEBTokenimtoken錢包官方版下載2.9.10PEL Token

TUSD