編者按：本文來自區塊律動BlockBeats編者按：本文來自

區塊律動BlockBeats

編者按：本文來自

區塊律動BlockBeats

區塊律動BlockBeats

又是安全漏洞，又和交易所有關。

二級標題

1. 這個名叫tradeTrap 的智能合約漏洞波及700 多個ERC-20 Token，其中也包括AI、SUB、NTO、TGT、FC、TBT 等Token 在內的數十個已經在交易所交易的Token，涉及幣安、火幣、OKEx、HitBTC、ZB、EtherDelta、IDEX 等26 家交易所。

2. 二級標題

3. 該漏洞是今年發現的影響用戶數量最大、涉及幣種最多、涉及交易所最多的安全漏洞，據悉該漏洞可能有意或無意被開發人員預留在智能合約中，若用意良好不會造成影響，但是如果被黑客濫用，可以輕鬆地實現非法套利和操控價格的安全事件發生。

二級標題

史上影響範圍最大的智能合約漏洞細節曝光

區塊律動BlockBeats 從PeckShield 團隊處了解到，tradeTrap 漏洞包括多個已知的安全問題：

黑客可以通過mintToken() 函數來隨意增加Token 餘額

黑客可利用setPrices() buy() sell() 三個函數來操縱Token 價格，並且進行不公平的套利行為

BuyTrap 和SellTrap，可讓購買者和出售者成功付款後無法收到Token 或者賣出後無法獲得收入等。

在存在tradeTrap 漏洞的智能合約中，PeckShield 發現一個名為mintToken() 的函數，該函數可被黑客用於隨意向任一以太坊地址增發Token 餘額。

一般來講，該函數只能被合約擁有者控制使用，用於合約Token 的增發。該函數主要用於Token 預售階段，項目方可利用該函數向私募投資者發行相應的Token，在預售結束後理應停止使用該函數。但是實際上，該函數在預售結束後依舊可以隨意使用。如果項目方並未曝光增發計劃而濫用該函數，可以向任一以太坊地址增發項目Token。憑空增發的Token 數量，將會擾亂該Token 的市場交易，給投資者帶去損失。

以存在該漏洞的Substratum 為例，該項目的Token 總量在各個平台上存在巨大差距，有惡意增發的嫌疑。

EtherScan 中查詢SUB Token 合約地址中有5.92 億Token，非小號、Coinmarketcap 等數據平台顯示SUB Token 發行總量為4.72 億枚。區塊律動BlockBeats 也發現Substratum 的白皮書中Token 發行量也有過多次變更，在2017 年8 月的白皮書中，其發行數量為6 億Token，在12 月白皮書中，發行數量為2.26 億。

另外一個安全問題存在於價格操縱上。在出現這類問題的智能合約中，有setPrice()、buy()、sell() 三個函數，該函數只能由智能合約擁有者進行控制，可以規定Token 的購買和銷售價格。公眾可以直接使用buy()、sell() 函數來進行Token 的買賣行為。

該漏洞讓黑客有可乘之機，能夠操縱價格套利。

二級標題

在某些情況下，心懷不軌的交易所可以利用該漏洞來低價買入Token，然後充幣到交易所後再按照市場高價賣出，形成交易所自己進行的套利，這實際上是違背商業道德的行為。

目前該漏洞影響了INT、SUB、SWFTC 等的Token，這些Token 正在OKEx、火幣、HitBTC、IDEX、EtherDelta 等交易所進行交易。

交易所已經修復tradeTrap 漏洞，用戶可安全交易

正文

目前幣安、火幣、OKEx、OKCoinKR、CoinEgg、Kucoin、Allcoin、HitBTC、Bitbns、ZB、OTCBTC、CoinBene、COSS、Etherdelta、ForkDelta、IDEX、YEX、Tidex、Radar Relay、Yobit、WazirX、CoinExchange、CoinSpot、 Bluetrade、CEX、LiveCoin 等26 家交易所均以確認漏洞，幣安等交易所已與SUB 項目方確認漏洞無重大影響，用戶可以放心交易。

正文

但是我們不禁要問下面這個問題：

正文為何總是等到安全團隊出馬才能修復漏洞？

自從4 月份開始有安全團隊曝光區塊鏈安全漏洞以來，都是安全團隊率先通報漏洞，然後涉事的交易所、項目方才跟進的，總是慢一步。

區塊律動BlockBeats 無數次地在安全漏洞發生後向涉事方發出質問，尤其是交易所，我們是否做好了審核工作？所謂的上幣審核是否只是一個形式流程？

而最近多家交易所更是隨意上幣，完全不走投票上幣的流程。 OKEx 上幣了一個沒有任何是實質信息的BEC、火幣上了玉紅的純概念社區幣XMX、幣安上線涉嫌誤導消費者的QuarkChain，投資者看到的是媒體撲天蓋地的宣傳和潛在的投資機會，但區塊律動BlockBeats 看到的卻是利益關聯、內幕交易，這種「走關係」的行為不僅毫無安全性可言，更是為區塊鏈安全事件埋下了「伏筆」 。