近日,區塊鏈安全公司PeckShield 向包括火幣、幣安以及OKex 等多個主流交易所發出安全警報稱:多個已經在主流交易所上線的ERC20 幣種的智能合約代碼存在嚴重的安全隱患,“攻擊者”可通過公開的接口,以“零成本”技術手段實施割韭菜套利行為。
目前已知有 700 多個ERC20 幣種存在此類問題。已經證實了至少有數十個幣種已經在包括幣安、火幣以及OKex 在內的主流交易所公開上線交易,且交易量巨大。其中最大幣種市值已達 1.5 億美金,全部幣種共影響波及數十萬投資者。
操縱智能合約漏洞的幕後黑手,可能是項目方本身,也可能是交易所,還有可能只是一個背後操盤的黑客,準確說任何洞悉代碼漏洞的人都可以藉機實現收割。
因為這些ERC20幣種代碼中存在明顯安全問題:首先是項目方可肆意增發Token。
通常一個項目在上交易所之前為了激勵社區用戶參與活躍度,會定向空投若干代幣給一些特定地址。但是一些項目方會在交易所上線後,價格已經有一定上漲時,突然向某個地址轉入了一筆鉅額Token,致使該地址幾乎以零成本拿到一定量的Token。這樣的暗箱操作顯然會嚴重影響該幣種的市場價格平衡性。
而目前已經發現有10餘種存在此類問題的可交易Token,他們存在於23個不同的交易所當中,包括Binance和OKex這樣的頂級交易所,而且交易量巨大,一旦被利用可以影響數以萬計的投資用戶。
正常情況下,一個幣種上交易所後,交易走量都需要通過交易平臺,成交時的買賣價格也是和市場保持同步的。然而現在我們發現,一些項目完全可以通過智能合約任意修改買入價和賣出價,不需要依照市場價格。這就給了他們肆意操縱市場和隨意套利的機會。
又因為智能合約是開源和透明化的,項目方舉動都會被記錄和公開。為了“割韭菜”,項目方會先以較低的賣出價誘惑投資者,然後在投資者搶購掛單瞬間再次更改價格,這樣以來,投資者的錢花出去了,但買到的Token量卻遠不及預期,只能自認倒黴吃個啞巴虧。
這樣的套現和獲利成本幾乎為零,因為對於項目方來說,所謂的虛擬貨幣本來就是自造的產物。拋出去之後就成為能夠不斷吸引投資的手段。投資方不會明目張膽的卷錢跑路,卻會一點一點套路投資者的現實資產。對於項目方來說,“卷錢跑路”不僅風險大而且只能做一次,但是“割韭菜”卻要安全長久的多。畢竟韭菜們能夠一茬一茬地長出來。
2018年,數字貨幣種類已經超過1200種,總市值一度超過5萬億人民幣,數字貨幣市場規模和體量已經很龐大,任何市場波動和安全漏洞牽扯的都是一筆鉅額數字資產,損失也會波及數十萬投資者。然而,數字貨幣市場並沒有成型的法律監管體系,一些操控市場的現象沒有相應的法律來嚴懲。
閱讀更多 鏈鏈製作人 的文章
