秘密武器助力,我截获了一波黑客的砸盘做空行情!

昨晚见了一波很久没见的朋友,哈希菌听他们聊天时说起有个币爆出漏洞的事儿。币种千千万,不是每个哈希菌都了解都清楚,昨天朋友们聊的就是我的知识盲区了——UET。

UET,全称 Useless Ethereum Token,翻译过来就是“没用的以太坊token”?我怀疑创始人是在逗我。

哈希查了一下非小号,没有任何介绍,一片空白。只显示了一部分艾西欧的信息。

2.webp.jpg
  当时的众筹均价是1美分,约人民币一毛二,现在价格8分,也就是破发了。

然后哈希去找了它的官网,显示页面如下:

3.webp.jpg
  原本以为小伙伴们约着喝茶聊天是要跟我分享一些有可能翻百倍的币,不说百倍,来个五倍十倍也是美滋滋的。

然鹅,并不是说行情,而是说漏洞。

据哈希的了解,曾经被曝过溢出盗币漏洞的UselessEthereumToken(UET) 在交易所持续频繁交易,并且单日涨幅达9.09%。

4.webp.jpg
  虽然漏洞被曝了出来,并且众所周知了,但UET依然堂而皇之的在交易所进行交易。

这样的现象,让我们不得不怀疑,这是交易所故意做的局,欺骗市场上绝大多数完全不懂代码的韭菜。因为当时Etherscan就报道过,而Etherscan只有码农会光顾。

2018年5月漏洞播报文章

5.webp.jpg
  Etherscan上漏洞示警图片

6.webp.jpg
  除了Etherscan之外,Armors Labs曾于今年4月发现UET存在盗币漏洞,并将其列入Armors IDS监控名单。

安全的transferFrom函数,应该对allowed[_from][msg.sender]授权额度和转账金额value进行判断。正确的做法是需要allowed[_from][msg.sender] > value。

UET误将>写作<=,导致攻击者都可以从任何人的地址中转走全部代币。

7.webp.jpg
  于是最终,这个漏洞使得一度飙到0.08美元的UET昙花一现,站在山峰上还没来得及欣赏美景就迅速跌落悬崖。

就像其名字一样,变得useless——毫无价值。

8.webp.jpg
  除了UET之外,在短短不到两个月的时间里,BEC、SMT、EDU、BAI又接连曝出盗币漏洞,给投资者造成重大经济损失,对市场产生非常恶劣影响。

现在绝大部分的交易所都已经越来越重视合约审计,以求最大程度上保护用户财产的安全。毕竟,只有用户财产安全得到最大的全方位的保护,才能保障整个区块链世界的和谐稳定发展。

为了尽量避免悲剧接二连三的频繁发生,Armors Labs于5月中旬上线了入侵检测系统IDS内测版。针对历史经典漏洞进行形式化特征值采集分析,并对目前市值前2000名代币交易记录和200余家交易所交易数据进行监控。通过IDS AI模块学习经典漏洞攻击事件中代币和交易所交易曲线波动情况,对酝酿或发生的攻击行为产生的异常波动进行发出预警。

9.webp.jpg
10.webp.jpg
  6月6日,也就是昨天,IDS检测到UET与漏洞关联合约RemiCoin (RMC)产生多笔异常交易。UET在交易所HitBtc有大笔交易行为。

攻击者极有可能已经在其他交易所布局做空某热门代币,然后通过盗取UET,在HitBtc进行大笔交易兑换Eth,而后使用Eth购买目标代币,最后砸盘做空。

目前Armors Labs已经向HitBtc交易所发出紧急警报,希望其尽快下架UET交易。并且Armors Labs已经对IDS系统进行临时扩容,全力监控HitBtc交易所所有代币的交易行为,如果发现某币种有做空动态,会第一时间发出预警。

预警只是尽量减少攻击造成的损失,从源头出发,在智能合约撰写和审计环节严格把控,才能真正杜绝智能合约安全漏洞。

Armors Labs 在3月,开源了智能合约安全开发引擎armors-solidity。使用armors-solidity进行智能合约开发,可以快速开发安全无漏洞的ERC20标准合约。在此基础上,可以通过个性化定制,开发锁仓、空投、投票、众筹等功能模块。