편집자 주: 이 기사의 출처는블록 비트 BlockBeats편집자 주: 이 기사의 출처는
블록 비트 BlockBeats
, 작성자: 0x2, 승인을 받아 복제됨.
다시 교환과 관련된 또 다른 보안 위반.
tradeTrap이라고 불리는 이 스마트 컨트랙트 취약점은 Binance, Huobi, OKEx, HitBTC, ZB, EtherDelta, IDEX 및 기타 26개 거래소.
이 취약점은 올해 발견된 보안 취약점으로 가장 많은 사용자에게 영향을 미치고, 가장 많은 통화와 가장 많은 거래가 관련되어 있으며, 해당 취약점은 개발자가 의도적으로 또는 의도하지 않게 스마트 컨트랙트에 예약되어 있을 수 있다고 보고되었습니다. 의도가 좋으면 아무런 영향을 미치지 않지만 해커에게 악용될 경우 불법 차익 거래 및 가격 조작과 같은 보안 사고가 쉽게 실현될 수 있습니다.
보조 제목
역사상 가장 영향력이 큰 스마트 컨트랙트 취약점의 세부 정보가 노출됩니다.
Block Beats는 PeckShield 팀으로부터 tradeTrap 취약점에 알려진 여러 보안 문제가 있음을 알게 되었습니다.
해커는 mintToken() 기능을 사용하여 마음대로 토큰 잔액을 늘릴 수 있습니다.
해커는 세 가지 함수 setPrices() buy() sell()을 사용하여 토큰 가격을 조작하고 불공정한 차익 거래를 수행할 수 있습니다.
BuyTrap 및 SellTrap을 사용하면 구매자와 판매자가 성공적인 결제 후 토큰을 받지 못하거나 판매 후 수입을 받을 수 있습니다.
tradeTrap 취약점이 있는 스마트 계약에서 PeckShield는 mintToken()이라는 함수를 발견했습니다. 이 함수는 해커가 이더리움 주소에 임의로 토큰 잔액을 발행하는 데 사용할 수 있습니다.
일반적으로 이 기능은 계약 소유자의 통제 하에서만 사용할 수 있으며 계약 토큰의 추가 발행을 위해 사용됩니다. 이 기능은 주로 토큰 사전 판매 단계에서 사용되며 프로젝트 당사자는 이 기능을 사용하여 개인 투자자에게 해당 토큰을 발행할 수 있으며 사전 판매가 끝나면 이 기능을 사용하지 않아야 합니다. 하지만 사실 이 기능은 프리세일 종료 후에도 여전히 마음대로 사용할 수 있습니다.
프로젝트 당사자가 추가 발행 계획을 노출하지 않고 이 기능을 악용할 경우 임의의 이더리움 주소로 추가 프로젝트 토큰을 발행할 수 있습니다. 허공에서 발행된 토큰의 수는 토큰의 시장 거래를 방해하고 투자자에게 손실을 가져올 것입니다.
이 취약점을 가지고 있는 Substratum을 예로 들면, 다양한 플랫폼에서 이 프로젝트의 Token 총량에 큰 격차가 있으며 악의적인 발행이 의심됩니다.
EtherScan에서 조회한 SUB 토큰 계약 주소에는 5억 9,200만 개의 토큰이 있으며, Feixiaohao 및 Coinmarketcap과 같은 데이터 플랫폼에서 발행된 총 SUB 토큰 수는 4억 7,200만 개로 나타났습니다. 블록 리듬 BlockBeats는 또한 Substratum의 백서에서 토큰 발행이 여러 번 변경되었음을 발견했습니다.
PeckShield 팀과 통신한 후 Substratum이 실제로 mintToken() 함수를 호출하고 5억 8천만 개의 토큰을 추가로 발행한 것으로 밝혀져 이 인터페이스의 취약성이 실제로 효과적이고 사용 가능함을 나타냅니다. 현재 팀은 이 기능이 테스트 네트워크에서만 사용되었으며 트랜잭션 이후에 발행되지 않았다는 미디엄 성명을 발표했습니다.가격 조작과 관련된 또 다른 보안 문제가 있습니다. 이러한 문제가 발생하는 스마트 컨트랙트에는 setPrice(), buy(), sell()의 3가지 함수가 있는데, 이러한 함수는 스마트 컨트랙트 소유자만이 제어할 수 있으며, 매매 가격을 지정할 수 있습니다. 토큰. 대중은 buy() 및 sell() 기능을 직접 사용하여 토큰을 사고 팔 수 있습니다.
컨트랙트 코드를 주의 깊게 읽으면 이 컨트랙트의 Token 가격은 컨트랙트 소유자가 통제하지만 시장에서 유통되는 Token의 구매 및 판매 가격은 실제로 시장에 의해 결정되어야 함을 알 수 있습니다.
이 취약점을 통해 해커는 차익 거래를 위해 가격을 조작할 수 있습니다.
경우에 따라 부도덕한 거래소는 이 허점을 이용하여 토큰을 낮은 가격에 구매하여 거래소에 예치한 다음 시장에서 높은 가격에 판매하여 거래소 자체에 의한 차익 거래를 형성할 수 있습니다. 비즈니스 도덕적 행동.
현재 취약점은 OKEx, Huobi, HitBTC, IDEX, EtherDelta 등의 거래소에서 거래되고 있는 INT, SUB, SWFTC 등의 토큰에 영향을 미칩니다.
보조 제목
거래소는 tradeTrap 취약점을 수정하여 사용자가 안전하게 거래할 수 있습니다.
현재 Binance, Huobi, OKEx, OKCoinKR, CoinEgg, Kucoin, Allcoin, HitBTC, Bitbns, ZB, OTCBTC, CoinBene, COSS, Etherdelta, ForkDelta, IDEX, YEX, Tidex, Radar Relay, Yobit, WazirX, CoinExchange, CoinSpot, Bluetrade, CEX, LiveCoin 및 기타 26개 거래소 모두 취약점을 확인했으며, 바이낸스 및 기타 거래소는 SUB 프로젝트를 통해 취약점이 큰 영향을 미치지 않으며 사용자가 안심하고 거래할 수 있음을 확인했습니다.
그러나 우리는 다음과 같은 질문을 하지 않을 수 없습니다.
텍스트
보안 팀이 취약점을 수정할 때까지 항상 기다리는 이유는 무엇입니까?
보안팀이 지난 4월부터 블록체인 보안 취약점을 노출하기 시작한 이후로 보안팀이 가장 먼저 취약점을 보고하고 관련 거래소와 프로젝트가 후속 조치를 취하는 등 늘 한 발짝 뒤쳐져 있었다.
Block beats BlockBeats는 보안 침해가 발생한 후 관련 당사자, 특히 교환에 대해 셀 수 없이 많은 질문을 했습니다. 우리가 감사를 잘 수행했습니까? 이른바 상장 심사는 형식적인 절차일 뿐인가?
최근에는 코인 상장을 위한 투표 과정을 전혀 거치지 않고 마음대로 코인을 상장하는 거래소도 많다. OKEx는 실제 정보 없이 BEC를 상장했고, Huobi는 Yuhong의 순수 개념 커뮤니티 코인 XMX를 상장했으며, Binance는 소비자를 오도하는 의혹을 받는 QuarkChain을 출시했습니다. 이러한 "연결" 행위는 안전하지 않을 뿐만 아니라 블록체인 보안 사고의 토대가 됩니다."위에서 언급한 set/buy/sellPrice 허점을 예로 들면, 거래소는 이 계약 허점을 사용하여 낮은 가격에 토큰을 구매한 다음 시장이 높을 때 판매하여 차익 거래를 달성하거나 낮은 비용을 사용할 수 있는 모든 기회를 가집니다. 이익을 얻기 위해 통화 가격을 조작하는 토큰. 하지만 이런 일이 노출되지 않도록 하기 위해 정기적으로 거래소의 입금 주소를 변경하게 되어 Token이 거래소로 유입된 후 추적을 잃게 됩니다.
수사관의 경우,
거래소는 현재 전체 블록체인 생태계에서 가장 큰 블랙홀이며, 탈중앙화되고 투명한 모든 수단은 중앙화 거래소를 통과한 후에는 추적할 수 없게 되어 블록체인 자체가 무의미해집니다.
현재 거래소의 보안 문제 처리 방식은 보안 문제가 발생하면 처리하는 방식이며, 향후 발생할 수 있는 보안 문제에 대한 예방 조치를 취하지 않으며 문제 발생 시 사용자에게 제때 알리지 않고 손실을 방지합니다. 토큰도 효과적인 치료법도 아닙니다. 예를 들어, 최근 EDU 계약의 허점으로 인해 Huobi.com의 접근 방식은 프로젝트 당사자의 요청에 따라 허점을 수정한 후 통화 거래를 재상장하는 것뿐이며, 피해를 입은 투자자는 자산 잔고가 떨어지는 것을 볼 수 밖에 없습니다.
