สัญญาอัจฉริยะมีช่องโหว่ด้านความปลอดภัยอื่น คุณยังเชื่อคำชี้แจงความปลอดภัยของการแลกเปล

หมายเหตุบรรณาธิการ: บทความนี้มาจากบล็อคบีทส์ บล็อคบีทส์หมายเหตุบรรณาธิการ: บทความนี้มาจาก

บล็อคบีทส์ บล็อคบีทส์

, ผู้แต่ง: 0x2, ทำซ้ำโดยได้รับอนุญาต

การละเมิดความปลอดภัยอื่นที่เกี่ยวข้องกับการแลกเปลี่ยนอีกครั้ง

ช่องโหว่ของสัญญาอัจฉริยะที่เรียกว่า tradeTrap ส่งผลกระทบต่อโทเค็น ERC-20 มากกว่า 700 รายการ รวมถึงโทเค็นหลายสิบรายการ เช่น AI, SUB, NTO, TGT, FC, TBT และอื่น ๆ ที่ได้รับการซื้อขายในการแลกเปลี่ยนที่เกี่ยวข้องกับ Binance , Huobi, OKEx HitBTC, ZB, EtherDelta, IDEX และการแลกเปลี่ยนอื่นๆ อีก 26 รายการ

ช่องโหว่นี้เป็นช่องโหว่ด้านความปลอดภัยที่ค้นพบในปีนี้ซึ่งส่งผลกระทบต่อผู้ใช้จำนวนมากที่สุด, เกี่ยวข้องกับสกุลเงินมากที่สุด, และเกี่ยวข้องกับการแลกเปลี่ยนมากที่สุด มีรายงานว่า ช่องโหว่นี้อาจถูกสงวนไว้โดยเจตนาหรือไม่ตั้งใจในสัญญาอัจฉริยะโดยผู้พัฒนา หาก ความตั้งใจนั้นดี มันจะไม่ก่อให้เกิดผลกระทบใดๆ แต่ถ้าแฮ็กเกอร์ใช้ในทางที่ผิด เหตุการณ์ด้านความปลอดภัย เช่น การเก็งกำไรที่ผิดกฎหมายและการควบคุมราคาสามารถรับรู้ได้อย่างง่ายดาย

ชื่อเรื่องรอง

1. มีการเปิดเผยรายละเอียดของช่องโหว่สัญญาอัจฉริยะที่มีอิทธิพลมากที่สุดในประวัติศาสตร์

2. Block Beats ได้เรียนรู้จากทีม PeckShield ว่าช่องโหว่ของ TradeTrap นั้นรวมถึงปัญหาด้านความปลอดภัยที่ทราบหลายประการ:

3. แฮ็กเกอร์สามารถใช้ฟังก์ชัน mintToken() เพื่อเพิ่มยอดโทเค็นได้ตามต้องการ

แฮ็กเกอร์สามารถใช้สามฟังก์ชั่น setPrices() ซื้อ() ขาย() เพื่อควบคุมราคาโทเค็นและทำการเก็งกำไรที่ไม่เป็นธรรม

BuyTrap และ SellTrap ช่วยให้ผู้ซื้อและผู้ขายไม่ได้รับโทเค็นหลังจากชำระเงินสำเร็จหรือรับรายได้หลังการขาย

ในสัญญาอัจฉริยะที่มีช่องโหว่ของ TradeTrap PeckShield พบฟังก์ชันที่เรียกว่า mintToken() ซึ่งแฮ็กเกอร์สามารถใช้เพื่อออกยอดโทเค็นโดยพลการไปยังที่อยู่ Ethereum ใดก็ได้

โดยทั่วไป ฟังก์ชันนี้สามารถใช้ได้ภายใต้การควบคุมของเจ้าของสัญญาเท่านั้น และใช้สำหรับการออกโทเค็นสัญญาเพิ่มเติม ฟังก์ชันนี้ใช้เป็นหลักในขั้นตอนการขายล่วงหน้าของ Token ฝ่ายโครงการสามารถใช้ฟังก์ชันนี้เพื่อออก Token ที่เกี่ยวข้องให้กับนักลงทุนส่วนตัวได้ หลังจากการขายล่วงหน้าสิ้นสุดลง ควรหยุดใช้ฟังก์ชันนี้ แต่ในความเป็นจริงแล้ว ฟังก์ชันนี้ยังคงใช้งานได้ตามต้องการหลังการขายล่วงหน้าสิ้นสุดลง

หากฝ่ายโครงการไม่เปิดเผยแผนการออกเพิ่มเติมและใช้ฟังก์ชันนี้ในทางที่ผิด ก็สามารถออกโทเค็นโครงการเพิ่มเติมไปยังที่อยู่ Ethereum ใดก็ได้ จำนวนของโทเค็นที่ปล่อยออกมาจากอากาศจะรบกวนการทำธุรกรรมในตลาดของโทเค็นและนำความสูญเสียมาสู่นักลงทุน

ยกตัวอย่าง Substratum ซึ่งมีช่องโหว่นี้ มีช่องว่างขนาดใหญ่ในจำนวนโทเค็นทั้งหมดในโครงการนี้บนแพลตฟอร์มต่างๆ และสงสัยว่าจะมีการออกที่เป็นอันตราย

มี 592 ล้านโทเค็นในที่อยู่สัญญา SUB Token ที่สอบถามใน EtherScan และแพลตฟอร์มข้อมูลเช่น Feixiaohao และ Coinmarketcap แสดงให้เห็นว่าจำนวนโทเค็น SUB ที่ออกทั้งหมดคือ 472 ล้าน Block Rhythm BlockBeats ยังพบว่าการออกโทเค็นในสมุดปกขาวของ Substratum ก็มีการเปลี่ยนแปลงหลายครั้งเช่นกัน ในสมุดปกขาวในเดือนสิงหาคม 2017 จำนวนการออกโทเค็นอยู่ที่ 600 ล้านโทเค็น และในสมุดปกขาวเดือนธันวาคมจำนวนการออกคือ 226 ล้าน

หลังจากสื่อสารกับทีม PeckShield แล้วพบว่า Substratum ได้เรียกฟังก์ชัน mintToken() อย่างแท้จริง และได้ออกโทเค็นเพิ่มเติมอีก 580 ล้านโทเค็น ซึ่งบ่งชี้ว่าช่องโหว่ของอินเทอร์เฟซนี้มีประสิทธิภาพและใช้งานได้จริง ในปัจจุบัน ทีมงานได้ออกแถลงการณ์บนสื่อโดยระบุว่าฟังก์ชั่นนี้ถูกใช้ในเครือข่ายทดสอบเท่านั้นและไม่ได้ออกให้หลังจากการทำธุรกรรมข้อกังวลด้านความปลอดภัยอื่น ๆ เกิดขึ้นกับการจัดการราคา ในสัญญาอัจฉริยะที่เกิดปัญหาประเภทนี้มีสามฟังก์ชัน: setPrice() ซื้อ() และขาย() ฟังก์ชันเหล่านี้สามารถควบคุมได้โดยเจ้าของสัญญาอัจฉริยะเท่านั้นและสามารถระบุราคาซื้อและขายของ โทเค็น ประชาชนทั่วไปสามารถใช้ฟังก์ชันซื้อ () และขาย () เพื่อซื้อและขายโทเค็นได้โดยตรง

หากคุณอ่านรหัสสัญญาอย่างละเอียด คุณจะพบว่าราคาของโทเค็นในสัญญานี้ถูกควบคุมโดยเจ้าของสัญญา แต่ราคาซื้อและขายของโทเค็นที่หมุนเวียนในตลาดควรถูกกำหนดโดยตลาด

ช่องโหว่นี้ทำให้แฮ็กเกอร์สามารถปรับเปลี่ยนราคาเพื่อการเก็งกำไรได้

ในบางกรณีการแลกเปลี่ยนที่ไร้ยางอายสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อซื้อโทเค็นในราคาต่ำฝากไว้ในการแลกเปลี่ยนแล้วขายในราคาสูงในตลาดซึ่งก่อให้เกิดการเก็งกำไรโดยการแลกเปลี่ยน จริง ๆ แล้วสิ่งนี้ขัดต่อ พฤติกรรมทางศีลธรรมทางธุรกิจ

ปัจจุบัน ช่องโหว่นี้ส่งผลกระทบต่อโทเค็น เช่น INT, SUB และ SWFTC ซึ่งมีการซื้อขายในการแลกเปลี่ยน เช่น OKEx, Huobi, HitBTC, IDEX และ EtherDelta

ชื่อเรื่องรอง

การแลกเปลี่ยนได้แก้ไขช่องโหว่ของ TradeTrap และผู้ใช้สามารถซื้อขายได้อย่างปลอดภัย

ปัจจุบัน Binance, Huobi, OKEx, OKCoinKR, CoinEgg, Kucoin, Allcoin, HitBTC, Bitbns, ZB, OTCBTC, CoinBene, COSS, Etherdelta, ForkDelta, IDEX, YEX, Tidex, Radar Relay, Yobit, WazirX, CoinExchange, CoinSpot, Bluetrade, CEX, LiveCoin และการแลกเปลี่ยนอื่น ๆ อีก 26 แห่งได้ยืนยันช่องโหว่แล้ว Binance และการแลกเปลี่ยนอื่น ๆ ได้ยืนยันกับโครงการ SUB ว่าช่องโหว่นั้นไม่มีผลกระทบร้ายแรงและผู้ใช้สามารถซื้อขายด้วยความมั่นใจ

แต่เราอดไม่ได้ที่จะถามคำถามต่อไปนี้:

ข้อความ

เหตุใดคุณจึงรอจนกว่าทีมรักษาความปลอดภัยจะแก้ไขช่องโหว่อยู่เสมอ

เนื่องจากทีมรักษาความปลอดภัยเริ่มเปิดเผยช่องโหว่ด้านความปลอดภัยของบล็อกเชนในเดือนเมษายน ทีมรักษาความปลอดภัยจึงเป็นคนแรกที่รายงานช่องโหว่ดังกล่าว จากนั้นการแลกเปลี่ยนและโครงการที่เกี่ยวข้องจึงตามมาทีหลังเสมอ

Block beats BlockBeats ได้ตั้งคำถามกับฝ่ายต่างๆ ที่เกี่ยวข้องนับครั้งไม่ถ้วนหลังจากการละเมิดความปลอดภัยเกิดขึ้น โดยเฉพาะอย่างยิ่งการแลกเปลี่ยน เราได้ทำการตรวจสอบอย่างดีหรือไม่? การตรวจสอบรายชื่อเป็นเพียงกระบวนการที่เป็นทางการหรือไม่?

เมื่อเร็ว ๆ นี้ การแลกเปลี่ยนจำนวนมากได้แสดงรายการเหรียญตามต้องการโดยไม่ต้องผ่านกระบวนการลงคะแนนสำหรับรายการเหรียญเลย OKEx จดทะเบียน BEC โดยไม่มีข้อมูลจริง Huobi จดทะเบียน XMX เหรียญชุมชนแนวคิดบริสุทธิ์ของ Yuhong และ Binance เปิดตัว QuarkChain ซึ่งสงสัยว่าเป็นการหลอกลวงผู้บริโภค สิ่งที่นักลงทุนเห็นคือการประชาสัมพันธ์ที่ล้นหลามของสื่อและโอกาสในการลงทุนที่มีศักยภาพ แต่สิ่งที่ BlockBeats เห็นคือผลประโยชน์ที่เกี่ยวข้องกัน และการซื้อขายหลักทรัพย์โดยใช้ข้อมูลวงใน พฤติกรรม "การเชื่อมต่อ" ประเภทนี้ไม่เพียงไม่ปลอดภัยเท่านั้น แต่ยังเป็นรากฐานสำหรับเหตุการณ์ด้านความปลอดภัยของบล็อกเชนด้วย"ยกตัวอย่างช่องโหว่ของราคา set/buy/sell ที่กล่าวถึงข้างต้น การแลกเปลี่ยนมีโอกาสทุกอย่างที่จะใช้ช่องโหว่ของสัญญานี้เพื่อซื้อโทเค็นในราคาต่ำ จากนั้นขายเมื่อตลาดอยู่ในระดับสูงเพื่อให้เกิดการเก็งกำไร หรือใช้ต้นทุนต่ำ โทเค็นเพื่อควบคุมราคาสกุลเงินเพื่อให้ได้กำไร อย่างไรก็ตาม เพื่อหลีกเลี่ยงไม่ให้สิ่งนี้ถูกเปิดเผย ที่อยู่เงินฝากของการแลกเปลี่ยนจะถูกเปลี่ยนเป็นประจำ ทำให้โทเค็นสูญเสียการติดตามหลังจากที่มันไหลไปยังการแลกเปลี่ยน

สำหรับพนักงานสอบสวน

ปัจจุบันการแลกเปลี่ยนเป็นหลุมดำที่ใหญ่ที่สุดในระบบนิเวศของ blockchain ทั้งหมด วิธีการที่กระจายอำนาจและโปร่งใสทั้งหมดจะไม่สามารถติดตามได้หลังจากผ่านการแลกเปลี่ยนแบบรวมศูนย์ ทำให้ blockchain นั้นไม่มีความหมาย

แนวทางปัจจุบันของการแลกเปลี่ยนในการจัดการกับปัญหาด้านความปลอดภัยคือการจัดการเมื่อพบปัญหาหนึ่ง ๆ จะไม่ใช้มาตรการป้องกันใด ๆ สำหรับปัญหาด้านความปลอดภัยที่อาจเกิดขึ้นในอนาคตและจะไม่แจ้งให้ผู้ใช้ทราบทันเวลาเพื่อหยุดการขาดทุนเมื่อเกิดปัญหาขึ้น โทเค็นหรือวิธีการรักษาที่มีประสิทธิภาพ ตัวอย่างเช่น ด้วยช่องโหว่ของสัญญา EDU ล่าสุด วิธีการของ Huobi.com เป็นเพียงการลงรายการธุรกรรมสกุลเงินใหม่หลังจากแก้ไขช่องโหว่ตามคำร้องขอของฝ่ายโครงการ นักลงทุนที่เสียหายสามารถเฝ้าดูยอดสินทรัพย์ที่ลดลงได้เท่านั้น