剛剛,業內爆發出一輪新的漏洞攻擊預警。這次規模空前,
交易所、中心化錢包、代幣合約都會受到影響。很多項目方已經通知自己的“超大型投資者(5000萬以上)”,近期可能出現幣值的大幅下跌,安撫情緒的同時,正在積極的尋求彌補漏洞的方法。
很多媒體也接到紅包“暫時先不要曝出漏洞消息”,等大戶離場之後,再對韭菜進行收割。
而很多黑客據說已經完成佈局,已經分工協作攻擊了幾個交易所、中心化錢包和代幣合約。最近以太坊擁堵異常,大量充值湧入,被懷疑就是有人在利用這個漏洞“無限充錢”,然後購買其他真正有價值的資產。同時保持擁堵也能防止韭菜大量恐慌性拋售,關門殺狗。
這個漏洞簡單的說,就是交易所在進行USDT充值交易確認是否成功時存在邏輯缺陷,未校驗區塊鏈上交易詳情中valid字段值是否為true,導致“假充值“,用戶未損失任何USDT卻成功向交易所充值了USDT,而且這些USDT可以正常進行交易。已經確認真實攻擊發生!相關交易所應儘快暫停USDT充值功能,並自查代碼是否存在該邏輯缺陷。
我們公佈出漏洞代碼如下
事件進展
2018/6/28 USDT “假充值”漏洞攻擊事件披露;部分項目方開始安撫大型投資人。
2018/7/1 業內主動開始分析知名公鏈是否存在類似問題;
2018/7/7 捕獲並確認以太坊相關代幣“假充值”漏洞攻擊事件;
2018/7/8 分析此次影響可能會大於 USDT “假充值”漏洞攻擊事件,並迅速通知相關客戶及慢霧區夥伴;
2018/7/9 發出第一次預警。計劃:
2018/7/11 不出意外,細節報告會正式公開。
這次危機原始於慢霧區發佈了以太坊代幣“假充值”的漏洞。
稱相關交易所、中心化錢包、代幣合約需要特別警惕,儘快自查以太坊相關代幣的充值是否存在異常。此次受影響的主要是以太坊上基於ERC20、ERC721、ERC223等標準發行的代幣,已經發現有交易所及中心化錢包遭受此攻擊。
來吧韭菜們,別客氣了,斷頭鍘伺候好啦?!
閱讀更多 商業共識 的文章
