來源:區塊律動
又是安全漏洞,又和交易所有關。
今天,區塊鏈安全團隊 PeckShield 曝光了名為 tradeTrap 的以太坊智能合約漏洞,該漏洞可讓黑客隨意操控幣價、隨意增發 Token,該漏洞已影響十餘種可在交易所交易的 Token。截至文章發布,涉及的交易所已成功修複該漏洞。
這個名叫 tradeTrap 的智能合約漏洞波及 700 多個 ERC-20 Token,其中也包括 AI、SUB、NTO、TGT、FC、TBT 等 Token 在內的數十個已經在交易所交易的 Token,涉及幣安、火幣、OKEx、HitBTC、ZB、EtherDelta、IDEX 等 26 家交易所。
該漏洞是今年發現的影響用戶數量最大、涉及幣種最多、涉及交易所最多的安全漏洞,據悉該漏洞可能有意或無意被開發人員預留在智能合約中,若用意良好不會造成影響,但是如果被黑客濫用,可以輕鬆地實現非法套利和操控價格的安全事件發生。
史上影響範圍最大的智能合約漏洞細節曝光
從 PeckShield 團隊處了解到,tradeTrap 漏洞包括多個已知的安全問題:
(1)黑客可以通過 mintToken() 函數來隨意增加 Token 餘額(2)黑客可利用 setPrices() buy() sell() 三個函數來操縱 Token 價格,並且進行不公平的套利行為(3)BuyTrap 和 SellTrap,可讓購買者和出售者成功付款後無法收到 Token 或者賣出後無法獲得收入等。
在存在 tradeTrap 漏洞的智能合約中,PeckShield 發現一個名為 mintToken() 的函數,該函數可被黑客用於隨意向任一以太坊地址增發 Token 餘額。
一般來講,該函數只能被合約擁有者控制使用,用於合約 Token 的增發。該函數主要用於 Token 預售階段,項目方可利用該函數向私募投資者發行相應的 Token,在預售結束後理應停止使用該函數。但是實際上,該函數在預售結束後依舊可以隨意使用。
如果項目方並未曝光增發計劃而濫用該函數,可以向任一以太坊地址增發項目 Token。憑空增發的 Token 數量,將會擾亂該 Token 的市場交易,給投資者帶去損失。
以存在該漏洞的 Substratum 為例,該項目的 Token 總量在各個平台上存在巨大差距,有惡意增發的嫌疑。
EtherScan 中查詢 SUB Token 合約地址中有 5.92 億 Token,非小號、Coinmarketcap 等數據平台顯示 SUB Token 發行總量為 4.72 億枚。區塊律動 BlockBeats 也發現 Substratum 的白皮書中 Token 發行量也有過多次變更,在 2017 年 8 月的白皮書中,其發行數量為 6 億 Token,在 12 月白皮書中,發行數量為 2.26 億。
在與 PeckShield 團隊溝通後發現 Substratum 確實調用過 mintToken() 函數,做過一次 5.8 億枚 Token 的增發,說明該接口的漏洞確實有效可用。目前該團隊已經 Medium 發表聲明表示僅在測試網絡使用過該函數,並未在交易後進行過增發。
另外一個安全問題存在於價格操縱上。在出現這類問題的智能合約中,有 setPrice()、buy()、sell() 三個函數,該函數只能由智能合約擁有者進行控制,可以規定 Token 的購買和銷售價格。公眾可以直接使用 buy()、sell() 函數來進行 Token 的買賣行為。
仔細閱讀合約代碼就會發現,在該合約中 Token 的價格是由合約的所有人來進行控制的,但是市場中流通 Token 的購買和銷售價格其實應該由市場來決定,該漏洞讓黑客有可乘之機,能夠操縱價格套利。
在受到此漏洞影響的智能合約中,用戶是可以通過智能合約的 buyPrice 和 sellPrice 與項目方進行交易的,比如 EOS 的眾籌就是這種可以允許用戶與合約進行交易,與此同時 EOS 又可以在交易所進行交易。但是智能合約中的 buyPrice 和 sellPrice 數值並不能與市場進行及時更新,在更新過程中產生的合約價格與市場價格的差距,就形成了套利太空。
在某些情況下,心懷不軌的交易所可以利用該漏洞來低價買入 Token,然後充幣到交易所後再按照市場高價賣出,形成交易所自己進行的套利,這實際上是違背商業道德的行為。
目前該漏洞影響了 INT、SUB、SWFTC 等的 Token,這些 Token 正在 OKEx、火幣、HitBTC、IDEX、EtherDelta 等交易所進行交易。
交易所已經修複 tradeTrap 漏洞,用戶可安全交易
因為之前 360 在 EOS 漏洞曝光後的公關行為給市場造成了巨大的影響,導致大量投資人因為資訊溝通不暢而造成資產損失,PeckShield 團隊決定不在漏洞發現的第一時間將漏洞向公眾曝光,而是與交易所進行溝通確認和修複後再報告漏洞詳情,保證漏洞通報流程的合規。
創始人蔣旭憲告訴區塊律動 BlockBeats,‘我們不希望漏洞第一時間曝光會給市場帶來負面影響,畢竟 tradeTrap 漏洞涉及多個正在交易所交易的 Token,隨意地曝光可能會給市場帶去恐慌,給廣大投資者造成不必要的損失。’
目前幣安、火幣、OKEx、OKCoinKR、CoinEgg、Kucoin、Allcoin、HitBTC、Bitbns、ZB、OTCBTC、CoinBene、COSS、Etherdelta、ForkDelta、IDEX、YEX、Tidex、Radar Relay、Yobit、WazirX、CoinExchange、CoinSpot、Bluetrade、CEX、LiveCoin 等 26 家交易所均以確認漏洞,幣安等交易所已與 SUB 項目方確認漏洞無重大影響,用戶可以放心交易。
但是我們不禁要問下面這個問題:
為何總是等到安全團隊出馬才能修複漏洞?
自從 4 月份開始有安全團隊曝光區塊鏈安全漏洞以來,都是安全團隊率先通報漏洞,然後涉事的交易所、項目方才跟進的,總是慢一步。
區塊律動 BlockBeats 無數次地在安全漏洞發生後向涉事方發出質問,尤其是交易所,我們是否做好了審核工作?所謂的上幣審核是否只是一個形式流程?
而最近多家交易所更是隨意上幣,完全不走投票上幣的流程。OKEx 上幣了一個沒有任何是實質資訊的 BEC、火幣上了玉紅的純概念社區幣 XMX、幣安上線涉嫌誤導消費者的 QuarkChain,投資者看到的是媒體撲天蓋地的宣傳和潛在的投資機會,但區塊律動 BlockBeats 看到的卻是利益關聯、內幕交易,這種‘走關係’的行為不僅毫無安全性可言,更是為區塊鏈安全事件埋下了‘伏筆’。
以上面提到的 set/buy/sellPrice 漏洞為例,交易所是完全有機會利用這個合約漏洞來低價買入 Token,隨後在市場高漲的時候賣出,實現套利,或者利用低成本 Token 來操縱幣價,以此獲得利潤。但是為了避免這種事情敗露,交易所的充幣地址會定期更換,導致 Token 在流向交易所後就失去了蹤跡。
對於調查員來說,交易所是目前整個區塊鏈生態系統中最大的黑洞,所有的去中心化、透明手段在經過中心化交易所這一手之後,都將變得無法追蹤,使區塊鏈本身失去了意義。
交易所目前面對安全問題的處理方法是遇到一個,處理一個,對於未來可能出現的安全問題,不采取任何預防措施,也不會在問題發生時及時通知用戶來止損,對於已經出現問題的 Token,也沒有任何有效的補救措施。比如最近發生的 EDU 合約漏洞,火幣網的做法僅僅是應項目方要求修複漏洞後重新上幣交易而已,受損的投資者,只能看著自己的資產餘額下降。
中心化的交易所應該承擔安全問題為投資者帶來的經濟損失,雖然虛擬貨幣為高風險的投資項目,但承擔上幣審核和交易安全的是交易所,保證交易安全和資金安全是中心化的交易所義不容辭的責任。
雖然區塊律動對過度宣傳的陳偉星不感冒,但還是希望他的‘透明計劃’能有效地地推進下去,是時候管管交易所了。
責任編輯:何凱玲
香港九龍灣馬來街興發大廈15樓D室