近日,区块链安全公司PeckShield 向包括火币、币安以及OKex 等多个主流交易所发出安全警报称:多个已经在主流交易所上线的ERC20 币种的智能合约代码存在严重的安全隐患,“攻击者”可通过公开的接口,以“零成本”技术手段实施割韭菜套利行为。
目前已知有 700 多个ERC20 币种存在此类问题。已经证实了至少有数十个币种已经在包括币安、火币以及OKex 在内的主流交易所公开上线交易,且交易量巨大。其中最大币种市值已达 1.5 亿美金,全部币种共影响波及数十万投资者。
操纵智能合约漏洞的幕后黑手,可能是项目方本身,也可能是交易所,还有可能只是一个背后操盘的黑客,准确说任何洞悉代码漏洞的人都可以借机实现收割。
因为这些ERC20币种代码中存在明显安全问题:首先是项目方可肆意增发Token。
通常一个项目在上交易所之前为了激励社区用户参与活跃度,会定向空投若干代币给一些特定地址。但是一些项目方会在交易所上线后,价格已经有一定上涨时,突然向某个地址转入了一笔巨额Token,致使该地址几乎以零成本拿到一定量的Token。这样的暗箱操作显然会严重影响该币种的市场价格平衡性。
而目前已经发现有10余种存在此类问题的可交易Token,他们存在于23个不同的交易所当中,包括Binance和OKex这样的顶级交易所,而且交易量巨大,一旦被利用可以影响数以万计的投资用户。
正常情况下,一个币种上交易所后,交易走量都需要通过交易平台,成交时的买卖价格也是和市场保持同步的。然而现在我们发现,一些项目完全可以通过智能合约任意修改买入价和卖出价,不需要依照市场价格。这就给了他们肆意操纵市场和随意套利的机会。
又因为智能合约是开源和透明化的,项目方举动都会被记录和公开。为了“割韭菜”,项目方会先以较低的卖出价诱惑投资者,然后在投资者抢购挂单瞬间再次更改价格,这样以来,投资者的钱花出去了,但买到的Token量却远不及预期,只能自认倒霉吃个哑巴亏。
这样的套现和获利成本几乎为零,因为对于项目方来说,所谓的虚拟货币本来就是自造的产物。抛出去之后就成为能够不断吸引投资的手段。投资方不会明目张胆的卷钱跑路,却会一点一点套路投资者的现实资产。对于项目方来说,“卷钱跑路”不仅风险大而且只能做一次,但是“割韭菜”却要安全长久的多。毕竟韭菜们能够一茬一茬地长出来。
2018年,数字货币种类已经超过1200种,总市值一度超过5万亿人民币,数字货币市场规模和体量已经很庞大,任何市场波动和安全漏洞牵扯的都是一笔巨额数字资产,损失也会波及数十万投资者。然而,数字货币市场并没有成型的法律监管体系,一些操控市场的现象没有相应的法律来严惩。
閱讀更多 鏈鏈製作人 的文章
