Texto | Kyle
Editar | Wen Dao
Recientemente, Beijing Lian'an reveló un extraño problema adicional.
La parte del proyecto de la cadena de oro (HJL) notó recientemente en el navegador Ethereum que hay algunas direcciones desconocidas que contienen tokens HJL fuera del monto total emitido del proyecto. Beijing Chain Security auditó el código del contrato y descubrió que los tokens fáciles de la plataforma de "emisión de monedas de una clave" encontrados por la parte del proyecto se colaban en el código del contrato y emitían en secreto el 1% de la cantidad total de tokens HJL y lo robaban a la dirección especificada para solicitar el retiro. .
Según Beijing Lianan, además de HJL, hay otras partes del proyecto como MH, CRS y LP.
Existe un riesgo en la plataforma de emisión de divisas de terceros que abre en secreto la "puerta trasera", y las partes del proyecto que usan herramientas de terceros para emitir divisas también son cuestionadas: incluso el trabajo básico de emisión de tokens con contratos inteligentes es difícil de completar de forma independiente, y la puerta trasera también se organiza en el contrato. No puedo descubrir, ¿cómo puede esa alfabetización tecnológica emprender el desarrollo de proyectos blockchain?
La emisión adicional inexplicable no solo expuso el problema de "fabricación de monedas en la puerta de atrás" y "retiro de efectivo" por parte de la plataforma de emisión de monedas "tonto", sino que también puso una serie de proyectos de "tres noes" sin sitio web oficial, sin papel blanco y sin fuerza técnica en primer plano. Una vez que estos proyectos figuran en la bolsa, es muy probable que los inversores en el mercado secundario se conviertan en los "conectores" definitivos.
La plataforma de "emisión de monedas de una clave" emite en secreto monedas de proyectos
El 25 de marzo, la compañía de seguridad blockchain Beijing Chain Security reveló que la parte del proyecto Gold Chain (HJL) descubrió en el navegador Ethereum que el número de tokens de proyecto HJL era más que la cantidad total emitida. Se ha verificado que las monedas adicionales no son monedas del mismo nombre ni monedas falsas, sino más bien como aparecer en una dirección desconocida de la nada.
Los materiales publicitarios del proyecto muestran que la cantidad total de tokens HJL emitidos es de 43 millones. Pero una dirección desconocida que comienza con "0xfA6D" una vez obtuvo 430,000 tokens a la vez, que es exactamente el 1% de la emisión total de HJL.
Lo extraño es que esta dirección no es la dirección del propietario del proyecto ni el registro de ser transferido a tokens HJL. Es imposible rastrear la fuente de esta parte de HJL a través del navegador blockchain.
Buscando información de HJL, el token se incluyó en el intercambio de BJEX el 28 de febrero, formando un precio en el mercado secundario. El 26 de marzo, HJL cotizó 0.008 USDT. Según este cálculo, el valor HJL obtenido en la dirección que comienza con "0xfA6D" es 3440 USDT, lo que equivale a 24700 yuanes.
La dirección al comienzo de "0xfA6D" aparece como símbolo HJL de la nada
Aunque solo representa el 1% de la cantidad total de HJL, esta moneda inexplicable es equivalente al guante blanco del guante vacío, lo que perjudica los intereses de la parte del proyecto.
Al final, Beijing Chain Security descubrió la pista al consultar el contrato de emisión de monedas HJL. Cuando se implementó el contrato inteligente en la cadena, se estableció una instrucción para recargar el suministro total de tokens del 1% a la dirección que comienza con "0xfA6D" en la capa de código, y La instrucción contiene la configuración de que las monedas silenciosamente adicionales no se cuentan en la emisión total.
Después de una comunicación adicional, Beijing Lian'an se enteró de que el contrato de emisión de divisas del proyecto no se desarrolló de forma independiente, pero se subcontrató una plataforma de emisión de divisas con un solo clic llamada "Easy Token".
Posteriormente, Beijing Chain Security implementó contratos de emisión de tokens en el testnet usando Easy Tokens. Después de verificar los códigos de contrato, se descubrió que la plataforma adoptó los mismos medios, emitió en secreto tokens adicionales y también se transfirió a la dirección al comienzo del "0xfA6D" anterior.
En este punto, el inexplicable incidente adicional de HJL está cayendo. La plataforma de emisión de monedas subcontratada actúa como un trozo en el código, y sin informar al cliente, emite y roba el 1% del monto total de los tokens de proyecto del cliente. Una vez que se enumera el proyecto del cliente, es muy probable que estos tokens adicionales se vendan y se cambien.
Al 26 de marzo, se han completado 4 transferencias HJL en la dirección que comienza con "0xfA6D", por un total de 330,000.
La emisión de monedas al "estilo tonto" es fácil de dejar que la fiesta del proyecto siga
Vale la pena señalar que en la dirección que comienza con "0xfA6D", además de HJL, hay múltiples tokens ERC20 como Moneyhome (MH), Phantom Matter (PHTM2), CRS (CRS), Libra Pi (LP), etc. Estas monedas se generan El camino es similar al HJL, y todos parecen estar de la nada. El personal de seguridad especula que los emisores de estos tokens pueden usar la función de emisión de una sola tecla de Easy Tokens.
En el mercado, además de tokens fáciles, también se pueden buscar plataformas de emisión de monedas con un solo clic, como Quick Coin y FinChain. Estas plataformas son básicamente la "versión tonta" de emitir monedas usando contratos inteligentes. Solo necesita completar los elementos básicos como el nombre completo del token, abreviatura, circulación inicial y otros elementos básicos en la interfaz de emisión de monedas para generar el contrato de emisión de monedas y generar tokens personalizados.
Algunas plataformas de publicación de terceros también proporcionan servicios de apertura de intercambio con un clic, crowdfunding con un clic y acoplamiento de intercambio.
Las tarifas cobradas por las plataformas de emisión de monedas de terceros varían. Tomando como ejemplo la emisión de los tokens ERC20 más básicos, la tarifa por tokens fáciles es de $ 39.99, y los tokens rápidos se cobran 1 ETH. Además, estas plataformas también proporcionarán a los usuarios necesidades especiales. La interfaz de distribución de divisas muestra funciones como destrucción, transferencia de fusión, bloqueo y emisión adicional. Por supuesto, cada función adicional aumentará el precio.
La página web oficial de una determinada plataforma de emisión de monedas.
Beijing Lian'an le dijo a Honeycomb Finance que actualmente no hay otra plataforma que robe la emisión de "puerta trasera" y el robo de divisas, pero el umbral para tales operaciones es extremadamente bajo, y no descarta que habrá nuevos casos en el futuro.
Este fenómeno revelado por las agencias de seguridad también ha sonado la alarma para los proyectos de blockchain que dependen de servicios de outsourcing. Beijing Lian'an cree que la parte del proyecto que confía al equipo técnico de outsourcing se encuentra en un estado de "vetas" extremadamente inseguro. Cuando se utiliza la llamada plataforma de emisión de divisas, todo el proceso es una caja negra para ellos, y es imposible saber lo grasiento que hay dentro.
Es aún más vigilante que muchos intercambios pequeños y medianos no requieren auditorías de código de las partes del proyecto al enumerar monedas, lo que crea el riesgo de que la "institución" en el código del problema no pueda bloquearse a tiempo a través de capas de puntos de control.
Entonces, ¿cómo remediar la situación anterior? Beijing Lian'an le dijo a Honeycomb Finance que si el contrato de emisión de divisas se ha implementado en la cadena, es difícil corregirlo técnicamente directamente, y el contrato solo se puede volver a implementar.
La agencia de seguridad explicó además que si el proyecto no ha sido incluido en el intercambio y los tokens no se han distribuido completamente, el impacto del contrato de reurbanización es relativamente pequeño. Solo necesita informar a los inversores que las monedas emitidas anteriormente no son válidas y se vuelven a emitir.
Otra situación es que el proyecto ha aterrizado en la bolsa y se negocia completamente en el mercado secundario. La parte del proyecto debe comunicarse con el intercambio y los inversores y formular un plan para cambiar los tokens después de volver a implementar el contrato. "En este caso, no solo el proceso es más engorroso, sino que también puede afectar negativamente la reputación de la parte del proyecto".
Beijing Lian'an recuerda que si el equipo del proyecto está involucrado en el desarrollo del outsourcing, no solo es necesario evaluar las capacidades del equipo de outsourcing, sino también evaluar el riesgo moral de estos equipos. Además, el enlace de auditoría de seguridad de los contratos inteligentes también es esencial.
La emisión adicional de direcciones de moneda expone el proyecto "tres noes"
El mal de la plataforma de "emisión de una moneda clave" en el código del contrato ciertamente daña los intereses de la parte del proyecto, pero al mismo tiempo, también muestra los "calzoncillos" técnicos de algunas partes del proyecto en la industria blockchain.
Al buscar "tokens Ethereum" en Internet, puede ver muchos tutoriales de emisión de tokens ERC20. Algunos escritores dijeron que usar los contratos inteligentes de Ethereum "puede escribir fácilmente sus propios tokens".
Hay muchos tutoriales para emitir tokens ERC20 en línea
Beijing LianAn introdujo que, dado que la emisión del token ERC20 ya tiene una plantilla de desarrollo estándar, los requisitos funcionales para la emisión de tokens no son altos. Siempre que tenga capacidades básicas de desarrollo del lenguaje Solidity y esté familiarizado con la implementación y verificación de contratos en Ethereum, es cierto No se requiere la participación de terceros para completar la emisión de Token.
Es lógico que para las partes del proyecto blockchain que con frecuencia exigen "transformación" y "subversión" de Internet, la emisión de monedas no sea un problema. Sin embargo, la aparición de una versión tonta de la plataforma de "emisión de monedas de una clave" parece dar una respuesta contradictoria.
Al buscar la información del token en la dirección al comienzo de "0xfA6D" una por una, no es difícil encontrar que estos proyectos son las llamadas "monedas innovadoras" y el riesgo es extremadamente alto.
Tomemos como ejemplo la cadena de oro (HJL) que ha aterrizado en el intercambio BJEX. En su anuncio de listado, no publicó el sitio web oficial y el documento técnico, solo describió que se trata de una plataforma global de interacción y colaboración de información basada en el libro mayor basada en la tecnología blockchain. La información del sitio web oficial del proyecto no se puede encontrar en Internet. Se desconoce quién dirigió el proyecto. El intercambio BJEX que enumeró el proyecto actualmente ocupa el puesto 108 en la no trompeta.
En otro proyecto de Moneyhome (MH), solo se pueden encontrar materiales publicitarios relevantes. Las palabras "subvertir todas las finanzas de Internet" y "los precios internos de la moneda del disco solo suben y bajan" son simples y groseras. El modelo de reembolso de fisión descrito también es muy sospechoso, dijeron algunos internautas , Moneyhome se estrelló el 29 de febrero.
La dirección al comienzo de "0xfA6D" expone un lote de proyectos de "tres noes" en el círculo monetario. Incluso la emisión de monedas requiere proyectos de outsourcing. ¿Cómo podemos esperar que desarrollen una red blockchain?
Beijing Lianan le dijo a Honeycomb Finance que los participantes actuales del mercado en el círculo monetario son desiguales y que muchas partes del proyecto carecen de los antecedentes técnicos y la capacidad. Para aquellos que solo quieren hacer una fortuna, el objetivo es "buscar rápido". También se centra en el mercado, las operaciones, etc., y no existe una ruta de desarrollo a largo plazo en tecnología, por lo que no establecerán específicamente un equipo de I + D establecido. "Obviamente, es una forma más económica de encontrar una plataforma de terceros para el rápido desarrollo y despliegue de contratos".
Desde la perspectiva de Beijing Lian'an, los comportamientos como abrir puertas traseras para emitir tokens adicionales y emitir monedas falsas del mismo nombre son realmente fáciles de encontrar, porque la mayoría de los contratos de emisión de monedas serán de código abierto después del despliegue, siempre que se puedan detectar oportunamente auditorías de seguridad relevantes.
Para el proyecto de "tres noes" de natación desnuda, la habilidad técnica nunca ha sido el foco. Cuando intentaban "encontrar una suma global" en el mercado secundario, no sabían que la plataforma de "emisión de monedas de una llave" tomó la delantera en enterrar minas en la oscuridad. Si dicho proyecto ingresa al mercado secundario, los inversores se convertirán en la víctima final de la "adquisición".
Tiempo de interacción
¿Crees que la plataforma de emisión de monedas con un solo clic y el proyecto Sanwu son más terribles?
