编者按:本文来自蜂巢财经News,作者:凯尔,Odaily星球日报经授权转载。近日,北京链安披露了一起奇怪的增发事件。黄金链项目方近期在以太坊浏览器上察觉,存在一些未知地址持有项目发行总量外的HJL代币。北京链安审计合约代码后发现,项目方找的“一键发币”平台易代币在合约代码上作祟,暗自增发了HJL总量1%的代币,并窃取到指定地址里,谋求套现。据北京链安披露,除了HJL外,中招的还有MH、CRS、LP等项目方。暗开“后门”的第三方发币平台存在风险,使用第三方工具发币的项目方也遭遇质疑:连用智能合约发Token这种基础工作都难以自主完成,被人在合约里布置了后门也查不出来,这样的技术素养如何承担区块链项目开发?莫名增发事件,不仅揭露了“傻瓜”发币平台暗藏后门多造币、等套现的问题,也将一众无官网、无白皮书、无技术实力的“三无”项目摆上前台。一旦这些项目上了交易所,二级市场的投资者极有可能成为最终的“接盘侠”。“一键发币”平台暗中增发项目币
3月25日,区块链安全公司北京链安披露,黄金链项目方在以太坊浏览器上发现,项目代币HJL的数量多于发行总量。经验证,多出来的币既不是同名币也不是假币,更像是凭空出现在一个未知地址里。项目方宣传资料显示,HJL代币的发行总量为4300万枚。但一个“0xfA6D”开头的未知地址曾一次性获得了43万枚代币,恰为HJL发行总量的1%。奇怪的是,该地址既不是项目方所有的地址,也没有转入HJL代币的记录,通过区块链浏览器无法溯源到这部分HJL从何而来。搜索HJL的信息,该代币已于2月28日上线BJEX交易所,在二级市场上形成价格。3月26日,HJL报价0.008USDT,按此计算,“0xfA6D”开头地址获得的HJL价值3440USDT,折合24700元。
央行:商业银行、支付机构要避免“一刀切”防控过度影响正常业务:金色财经消息,中国人民银行支付结算司司长温信祥4月14日在国新办新闻发布会上表示,要加强对虚拟货币等新型领域风险防范,全方位堵截犯罪资金。他还表示,下一步人民银行将组织金融行业以更严的要求、更高的标准贯彻落实党中央、国务院决策部署,指导商业银行、支付机构、清算机构全面落实金融行业打防管控\"资金链\"治理各项措施。
具体看,一是压实主体责任。商业银行、支付机构按照“谁的账户谁负责”“谁的商户谁负责”“谁的钱包谁负责”,持续落实风险防控责任,断开涉诈资金链条,切实做到“支付为民”。二是统筹平衡风险防控与优化支付服务。商业银行、支付机构按照便利度不减、风险防控力度不减,优化服务要加强、风险管理要加强,这“两个不减、两个加强”原则,在风险防控同时为人民群众提供便捷的支付服务,避免“一刀切”防控过度影响正常业务。三是要提升风险防控的精准度。商业银行、支付机构要充分发挥大数据、人工智能等技术手段,提升风险识别、拦截精准性。加强对虚拟货币等新型领域风险防范,全方位堵截犯罪资金。四是提高全社会风险防范意识。按照打防结合、预防为先的思路,加大反诈宣传教育,形成对网络犯罪群防群治的良好局面。[2022/4/14 14:24:45]
火链科技CEO袁煜明:区块链可为“一带一路”建设发挥互联互通作用:4月21日,海南火链科技有限公司CEO袁煜明在博鳌亚洲论坛2021年年会“打造安全可控的产业链供应链”分论坛上表示,区块链技术可有效降低多方协作的信任门槛,搭建协同发展的产业链与生态圈,为“一带一路”建设发挥互联互通作用。(上证报)[2021/4/21 20:44:55]
“0xfA6D”开头地址凭空出现HJL代币尽管仅占HJL总量的1%,但这笔莫名多出来的币无异于空手套白狼,损害了项目方利益。最终,北京链安通过查询HJL的发币合约发现了端倪,该智能合约部署到链上时,在代码层就设置了向“0xfA6D”开头的地址充值总供应量1%代币的指令,且指令中包含悄悄增发的这笔币不计入总发行量的设置。经进一步沟通,北京链安了解到,项目方的发币合约并非自主开发,而是找了一个名为“易代币”的一键发币平台外包完成。随后,北京链安在测试网使用易代币部署发币合约,检查合约代码后发现,该平台采取了同样的手段,暗地里增发了代币,同样转到了上述“0xfA6D”开头的地址。至此,HJL莫名增发事件水落石出。外包发币平台在代码上作梗,不告知客户的情况下,增发并窃取客户项目总量1%的代币。一旦客户项目上所后,这些增发的代币极有可能被卖出套现。截至3月26日,“0xfA6D”开头的地址中已完成4笔HJL的转出,共计33万枚。“傻瓜式”发币易让项目方裸奔
声音 | 债券市场资深人士Nik Bhatia:比特币是“一种前所未有的资产”:债券市场资深人士、南加州大学马歇尔商学院金融学和经济学副教授Nik Bhatia称比特币为“一种前所未有的资产”。Bhatia表示比特币的数字稀缺性(以及由此产生的价值储存属性)的潜力,再加上闪电般的快速交易结算功能,促使其毅然放弃了他以前在华尔街的职业生涯。(Cointelegraph)[2019/11/19]
值得关注的是,在“0xfA6D”开头的地址中,除了HJL,还有Moneyhome(MH)、PhantomMatter(PHTM2)、CRS(CRS)、LibraPi(LP)等多个ERC20代币,这些币产生的方式与HJL类似,都如凭空出现一般。安全人员推测,这些代币的发行方可能都采用了易代币的一键发币功能。市面上,除了易代币之外,还可以搜索到快发币、FinChain等一键发币平台。这些平台基本就是利用智能合约发币的“傻瓜版”,只需要在发币界面填写代币全称、简称、初始发行量等基本要素,就可以生成发币合约,产生定制的代币。有的第三方发布平台还提供一键开交易所、一键众筹以及对接交易所上币等服务。第三方发币平台在收取费用上不尽相同。以发行最基本的ERC20代币为例,易代币收费为39.99美元,快发币则收取1个ETH。除此之外,这些平台还会为使用者提供特殊需求,发币界面显示,包括销毁、合并转账、锁定、增发等功能,当然,每增加一个功能,价格也会随之提升。
动态 | 评级机构惠誉:“一篮子”法定资产储备金让Libra比其他虚拟货币更安全:据Coin Speaker消息,全球三大国际评级机构之一惠誉国际(Fitch Rating)近期表示,与市场上现有的虚拟货币相比,Facebook加密货币Libra的安全性更高。该机构在一份声明中表示,Libra与其他加密货币相比,潜在的优势在于它拥有一篮子法定货币资产储备金支持,该储备金很像货币委员会,其规模将根据交易需求调整,而不是任意限制供应量,或是按照其他算法来实施。此外,惠誉认为Libra将像法定货币一样广泛运作,因此相比于比特币,Libra具有更好的功能。据此前报道,惠誉表示Facebook旗下加密货币Libra是银行支付机制最新的挑战。[2019/7/8]
声音 | 招商银行张育明:用开放许可链避免“一链一应用”:据新华财经消息,招商银行区块链负责人张育明表示开发许可链上可能不是一个应用,可以有多个应用。[2019/4/12]
某发币平台的官网页面北京链安告诉蜂巢财经,目前暂时没有发现其他平台存在偷留“后门”增发、窃币的情况,但此类操作门槛极低,不排除后续会有新的案例出现。安全机构披露的这一现象也给依赖外包服务的区块链项目敲响了警钟。北京链安认为,委托外包技术团队的项目方处于一种极不安全的“裸奔”状态,在使用所谓的发币平台时,整个过程对他们来说是一个黑盒,无法知晓里面的猫腻。更值得警惕的是,目前很多中小交易所在上币时也不会对项目方的代码审计做要求,这就造成问题代码里的“机关”通过层层关卡却无法被及时堵截的风险。那么,一旦出现上述情况如何补救?北京链安向蜂巢财经表示,如果发币合约已经部署到链上,在技术上很难直接修正,只能重新部署合约,而这又分两种境况。该安全机构进一步解释,如果项目还没上交易所,且代币尚未充分派发,重新开发合约的影响相对较小,仅需告知投资者此前发放的币作废,再重新发放即可。另一种情况是项目已经登陆交易所,并在二级市场充分交易。项目方则需要在重新部署合约后,跟交易所、投资者沟通并制定切换代币的方案,“这种情况下,不仅流程更加繁琐,也可能对项目方的声誉造成负面影响。”北京链安提醒,项目团队如涉及外包开发,不仅需要评估外包团队的能力,同时评估这些团队的道德风险,此外,智能合约的安全审计环节也必不可少。增发币地址暴露“三无”项目
“一键发币”平台在合约代码上作恶固然损害项目方利益,但同时也秀出了区块链业内部分项目方的技术“底裤”。在网上搜索“以太坊发币”,可以看到很多ERC20发币教程,有教程编写者称,利用以太坊的智能合约“可以轻松编写属于自己的代币”。
网上有很多发行ERC20代币的教程北京链安介绍,由于ERC20代币发行已经有一套标准的开发模板,发行代币的功能要求并不高,只要具备基本的Solidity语言开发能力,且对以太坊上合约部署和验证比较熟悉,确实无需第三方参与即可完成发行Token的工作。按理说,对于动辄就称要“变革”和“颠覆”互联网的区块链项目方来说,发币算不得难题。但“一键发币”这种傻瓜版平台的出现,似乎给出了相左的答案。逐一搜索“0xfA6D”开头地址中的代币信息,不难发现,这些项目都是所谓的“创新币种”,风险极高。以已经登陆BJEX交易所的黄金链为例,在其上币公告中,并没有公布官网和白皮书,仅描述这是一个基于区块链技术的全球账本型信息交互协作云平台。在网上也找不到该项目的官网信息,项目到底由谁运作不得而知。上架该项目的BJEX交易所目前在非小号上排名第108位。另一个Moneyhome(MH)项目,仅可以查到相关的宣传资料,“颠覆所有互联网金融”、“内盘币价只涨不跌”等字眼简单粗暴,描述的裂变返利模式也十分可疑,有网友称,Moneyhome已于2月29日崩盘。“0xfA6D”开头的地址暴露出一批币圈“三无”项目,连发币都要找外包的项目,如何指望他们开发出一个区块链网络?北京链安向蜂巢财经表示,目前币圈市场参与者良莠不齐,很多项目方缺乏技术背景和能力,对于只想捞一笔的人来说,“求快”才是目的,他们的资源、业务核心也侧重在市场、运营等环节,在技术上并没有长期的发展路线,所以他们也不会专门建立成建制的研发团队,“找第三方平台快速开发和部署合约显然是更经济的做法。”在北京链安看来,诸如开后门增发代币、发同名假币等行为其实很容易发现,因为多数发币合约在部署后都会开源,只要进行相关安全审计是可以及时察觉的。对于裸泳的“三无”项目来说,技术能力从来不是重点。当他们打着在二级市场“捞一笔”的算盘时,殊不知,“一键发币”平台率先在暗中埋雷。如果这种项目一旦进入二级市场,投资者会成为最终受害的“接盘侠”。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。