EOS:假币袭击币圈_ANONUSD

文|嚯嚯

编辑|文刀

过去的一个月里，EOS、HT等币都出现了造假现象。而区块链安全公司的人士介绍，币圈的主流币种几乎都有假币的身影。

造假者通过智能合约，便可发行与代币名称、描述、Logo等一模一样的假代币，交易所、DApp、个人用户均是造假者盯准的对象。

唯一的破绽是真假币的合约地址的不同，但这对于普通持币者来说，还是一个不太容易识别的门槛，假代币常常会套走受害者的真资产。

当假代币流入币圈并变得越发猖狂后，资产安全问题无疑值得重视。

成都链安科技联合创始人高子扬表示，使用知名浏览器查看链上交易并注意代币状态，能有效防范假币。

交易所、DApp成假币输送对象

近日，EOS公链上出现10亿枚假币的消息令人关注。

慢雾xToken被黑事件分析：两个合约分别遭受“假币”攻击和预言机操控攻击:据慢雾区消息，以太坊 DeFi 项目 xToken 遭受攻击，损失近 2500 万美元，慢雾安全团队第一时间介入分析，结合官方事后发布的事故分析，我们将以通俗易懂的简讯形式分享给大家。

本次被黑的两个模块分别是 xToken 中的 xBNTa 合约和 xSNXa 合约。两个合约分别遭受了“假币”攻击和预言机操控攻击。

一）xBNTa 合约攻击分析

1. xBNTa 合约存在一个 mint 函数，允许用户使用 ETH 兑换 BNT，使用的是 Bancor Netowrk 进行兑换，并根据 Bancor Network 返回的兑换数量进行铸币。

2. 在 mint 函数中存在一个 path 变量，用于在 Bancor Network 中进行 ETH 到 BNT 的兑换，但是 path 这个值是用户传入并可以操控的

3. 攻击者传入一个伪造的 path，使 xBNTa 合约使用攻击者传入的 path 来进行代币兑换，达到使用其他交易对来进行铸币的目的。绕过了合约本身必须使用 ETH/BNT 交易对进行兑换的限制，进而达到任意铸币的目的。

二）xSNXa 合约攻击分析

1. xSNXa 合约存在一个 mint 函数，允许用户使用 ETH 兑换 xSNX，使用的是 Kyber Network 的聚合器进行兑换。

2. 攻击者可以通过闪电贷 Uniswap 中 ETH/SNX 交易对的价格进行操控，扰乱 SNX/ETH 交易对的报价，进而扰乱 Kyber Network 的报价。从而影响 xSNXa 合约的价格获取

3. 攻击者使用操控后的价格进行铸币，从而达到攻击目的。

总结：本次 xToken 项目被攻击充分展现了 DeFi 世界的复杂性，其中针对 xSNXa 的攻击更是闪电贷操控价格的惯用手法。慢雾安全团队建议 DeFi 项目开发团队在进行 DeFi 项目开发的时候要做好参数校验，同时在获取价格的地方需要防止预言机操控攻击，可使用 Uniswap 和 ChainLink 的预言机进行价格获取，并经过专业的安全团队进行审计， 保护财产安全。详情见官网。[2021/5/13 21:57:48]

6月21日14点20分，Beosin成都链安发布安全预警，账户名为“larry5555555”的用户发行了10亿枚“EOS假币”并分发到了数个小号。据估算，此次伪造的数字货币账面市值超400亿元。

紧跟热点 ERC20标准FIL假币局再现:北京链安Chainsmap监测系统发现，随着Filecoin主网上线成为近期投资热点，以ERC20合约伪造“FIL”代币的局也已经再度出现。这些所谓的FIL代币甚至刚刚在两天前创建，即开始以空投的方式向一些地址转账，同时已经以此代币在Uniswap建立交易对池子，并有人参与交易。在此，我们提醒各位投资者在投资前，首先学习了解Filecoin技术和投资的常识，注意提防此类假币局。[2020/10/16]

发现大量的假EOS后，成都链安迅速提醒项目方做应急措施和预警准备，必要时找安全公司进行代码审计，避免用户资产受损。

幸运的是，截至发稿时尚未有任何区块链项目方或交易所受到此次假币事件影响。

这已经是6月以来的第二次假币事件，就在EOS假币预警出现的前一天，HT也出现了造假事件，有用户因此遭受资产损失。

JustSwap白名单上SSK假币已移除流动性池:数据显示，此前披露的SSK假币（地址：TYbtUJpoAos99Kt3ih81s6P8TZ1ATTv6Cj）已经移除流动性池。[2020/9/23]

6月20日，数字资产追踪平台CoinHunter监测到，有者通过声称可以1:177的比例，以ETH兑换“HT”，诱小白用户将ETH转入者的账户中。而这个所谓的“HT”只是者私自发行的假Token。

HT是火币基于以太坊公链发行的通用积分，火币数据显示，ETH和HT的兑换比例大约为1:78，远低于造假者所宣称的1:177。

ETH和HT的兑换比例约为1:78

据CoinHunter披露，造假者通过诱贪便宜的用户，成功获得的金额已累计高达969个ETH，市值超200万元，其中单一用户最高被取885个ETH。

日本1.9亿假币比特币案，4人遭到起诉:据日经新闻报道，东京地方检察厅调查了四名企业高层，包括Kentaro Yagihashi，因用假币比特币遭到欺诈指控。警察因欺诈行为共逮捕了12人，并对包括自营职业者在内的8人作出不起诉处理，对4人作出起诉处理。但地区检察官没有披露处理的原因。此前，据TBS报道，前后有12人因假币比特币被日本逮捕，涉案金额高达1.9亿日元。[2018/5/2]

从两起假币事件可见，造假的目的直指置换真币。而据以往的案例看，造假者的目标已经不仅仅是普通的小白持币者，甚至直接盯上了一些公链，构建在公链上的DApp也成为了置换假币的场所。

4月12日，波场DAppTronbank曾遭受假币攻击，它将攻击者发行的无价值代币错误的识别为价值85万元的BTT代币，造成了巨额损失。

成都链安团队分析，该假币事件的主要原因在于Tronbank智能合约没有严格验证代币的唯一标识符，才让假币成功流入账户。

成都链安科技联合创始人高子扬告诉蜂巢财经，假币能否套现成功主要取决于交易所或项目方对代币的验证逻辑是否严密，“如果有关方验证不严就可能遭受假币。”

多数主流币遭造假

目前，“假币事件”已普遍出现在以太坊、波场、EOS等公链上。那么，为何这些公链会成为造假者的目标？

“事实上只要是没有对发币名称进行限制的公链，都会存在假币的现象。”去中心化交易所Newdex的技术人员告诉蜂巢财经，“假币攻击与造假原理基本相同。”

高子扬以市面上的假冒USDT举例，“目前几乎所有开放发币功能的公链都可以发重名代币，主要的方式是发行与目标币种同名且图标等信息相似的个人代币。”

USDT假币名单截图

他提供了一份USDT假币的统计图，其中出现的5个假币，有4个直接以“USDT”命名。而实际上，USDT是Tether公司推出的稳定币，发行和交易使用的是Omni协议，“真正的USDT在Omni协议上其实叫TetherUS。”

Omni协议上的USDT真身

打开EOS、以太坊、波场等公链的区块游览器，如果你检索BNB、OKB等知名项目，不难发现，同名Token广泛存在。

高子扬表示，假币的出现并非由于上述公链或代币本身存在漏洞，“发行同名代币本来是各大公链的合法业务场景，虽然有攻击者恶意利用了这项业务，但代币发行机制本身并没有问题。只是我们在使用代币的场景中要提高安全意识，仔细判断，避免受到而遭受损失。”

以EOS公链为例，由于EOS公链的智能合约并不对Token的名称进行唯一性的限制，因此任何人都可以发布名为EOS的代币。Newdex团队告诉蜂巢财经，辨别真假Token的唯一途径是判断币种合约的发行主体，也就是发行这个代币的EOS账户。

警惕低价诱惑防范个人交易

相比现实世界的法币，数字货币的发行成本非常低，智能合约带来“人人都能发币”的自由，也成为动机不良者的作恶工具。掌握一些防范方式成为数字货币持有者的必要技能。

据一名交易所从业者透露，通过智能合约发行的Token，唯一区分点就是合约地址，其他诸如代币名称、描述、接口等，均是智能合约内部的内容，没有限制。

上述人士认为，“造假成本不高，用户警觉性低，是假币得以猖狂的根本原因。针对个人用户，造假者通常会以代投、搬砖套利、量化交易、低价兑换等方式，向投资者取真币。”

交易所和项目方尚且可以通过技术手段辨别真假币种，那么对于小白用户来说，应该怎么样去防范这些假币？

Newdex告诉蜂巢财经，刚进币圈的用户往往没有辨别真假币的能力，因此最好通过靠谱的渠道进行OTC转账和交易，不要选择与个人直接交易，或者在信誉不够的第三方平台上进行操作。

对于有一定交易经验的币圈用户来说，高子扬的建议是使用知名浏览器查看链上交易，并注意代币的状态，“这样就能有效防范假币。”

如果实在无法辨别真假，慢雾安全团队给出建议，可以将数字钱包内的资产充值到交易所看能否充值成功，假数字资产充值到交易所不会到账。用户也可以向代币官方人员进行求证，“不过任何挂着交易所或者钱包Logo头像的人员并不一定就是真实的官方人员，因此在求证时，务必找准官方渠道。”

标签：EOSETHSDTUSDNEOSeth价格今日行情foin币可以转usdt吗ANONUSD

火必热门资讯