重的！比特币的下跌跟ERC20币的代码漏洞有关系吗？

币安火币OKex交易的多款ERC20币种存在严重安全隐患，可人为操纵

正文 | 妹妹币

PeckShield 调查发现，已知有 700 多个 ERC20 代币存在此类问题。经证实，至少有数十种币在币安、火币、OKex等主流交易所公开交易，交易量巨大。其中，最大币种市值已达1.5亿美元，所有币种的冲击波及数十万投资者。

PeckShield 已向包括火币、币安、OKex 在内的多家主要交易所发布安全警报。

PeckShield 研究了大量的智能合约代码，发现攻击者可以使用以下两种技术手段来操纵货币价格：

安全问题一：项目所有者可以无限期地增发代币

有问题的 ERC20 货币智能合约有一个只有所有者才能调用的方法：mintToken，所有者可以使用它来发行额外的代币。

通常，项目在交易所上市前处于预售期，增发还是合理的。项目方定向空投一些代币到特定地址，目的是鼓励社区用户参与活动。但是，在交易所上线并可以正常交易后，这种借助智能合约的增发会让项目方空手而获利，严重影响市场平衡。

（图1：受影响智能合约中的mintToken问题）

目前，存在此类问题的可交易代币有10多个。它们存在于包括 Binance 和 OKex 在内的 23 家顶级交易所，目前交易量巨大。一旦被利用，它可以影响数以万计的投资者。

以下是披露此信息时发现的 10 个存在此问题的令牌。

安全问题二：操纵价格和不公平套利

相关 ERC20 货币的智能合约具有三种可调用方法：

1) setPrices：只有所有者可以访问，用于通过buy和sell方法（即buyPrice/sellPrice）调整代币的买卖价格；

2) buy：公开的和任何可访问的方式根据 buyPrice 购买代币；

3) sell：一种公开且可任意访问的基于 sellPrice 购买代币的方法。为描述方便，buyPrice/sellPrice 称为所有者操纵价格，交易所的代币价格称为市场价格。

（图2：可操作和可利用的智能合约接口）

按理说，一种货币在交易所上市后，交易量需要经过交易平台，交易过程中的买卖价格也与市场同步。但是在图2的代码中发现，项目方可以通过智能合约任意修改买入价和卖出价，完全不需要跟随市场价格。这样就有了“套利”的空间，套利者可以在Token的市场价格稍高时通过界面设置一个较低的买入价，然后以市场价格卖出，套利者也可以以市场价格买入Token ，然后设置一个高于市场价格的价格出售。

无论如何，这是一种干扰市场流通代币“定价权”的行为。从严重的意义上说，它控制了市场，对市场上的其他投资者极为不公平。

以下是信息披露时发现的 9 个存在此问题的代币。

到目前为止最有可能取代比特币的币种，已发现 9 种可交易代币并在 26 家交易所上市。其中，SUB、INT、SWFTC等代币在主流交易所上市，交易量和影响力巨大。

其他安全问题

最后，在我们调查的过程中，我们还发现了这些智能合约中的整数溢出漏洞，可以进一步分为以下两类： 1. BuyTrap：交易者可以购买代币，但由于操纵而触发整数溢出价格; 2. SellTrap：交易者可以卖出代币最有可能取代比特币的币种，但由于操纵卖出价触发整数溢出而收不到款项；

每一个案例，如果被利用，都会给交易客户造成经济损失。

进一步研究发现，如图 3 和图 4 所示，sell 或 buy 方法存在整数溢出漏洞。项目所有者在部署二次套利行为时，可以设计套利陷阱，所有者可以利用该漏洞损害普通用户的应得。收入。

（图 3：受影响的买方智能合约类别）

（图4：受影响的卖家智能合约类别）

一般来说，在传统的股票和证券市场，都有这样一个“割韭菜”的套路。在幕后，大庄利用周期性的低点和高点制造市场震荡收割韭菜，利用了很多散户盲目追涨追跌的心理。在大多数情况下，数字货币市场的大部分割韭菜行为也是基于这种市场化运作。新发现的借助智能合约漏洞割韭菜的方法不经过市场，利用技术手段零成本收获，对数字货币市场的稳定性构成极大威胁。

众所周知，交易所控制着数字货币资产的流入流出。作为数字资产的中转枢纽，交易所自诞生之日起就出现了无数的漏洞和安全事件。数十亿美元的损失。

然而，这只是表面上的技术漏洞导致的黑客事件。在幕后，存在通过智能合约代码漏洞操纵币价的不公平套利。

良性所有者不得试图操纵这些敏感价格以获取利润。然而，这些操作员界面的存在（与上述漏洞混合在一起）使得易受攻击代码背后的动机值得怀疑！返回搜狐，查看更多