编者按:本文来自蜂巢财经News,作者:凯尔,Odaily星球日报经授权转载。近日,北京链安披露了一起奇怪的增发事件。黄金链项目方近期在以太坊浏览器上察觉,存在一些未知地址持有项目发行总量外的HJL代币。北京链安审计合约代码后发现,项目方找的“一键发币”平台易代币在合约代码上作祟,暗自增发了HJL总量1%的代币,并窃取到指定地址里,谋求套现。据北京链安披露,除了HJL外,中招的还有MH、CRS、LP等项目方。暗开“后门”的第三方发币平台存在风险,使用第三方工具发币的项目方也遭遇质疑:连用智能合约发Token这种基础工作都难以自主完成,被人在合约里布置了后门也查不出来,这样的技术素养如何承担区块链项目开发?莫名增发事件,不仅揭露了“傻瓜”发币平台暗藏后门多造币、等套现的问题,也将一众无官网、无白皮书、无技术实力的“三无”项目摆上前台。一旦这些项目上了交易所,二级市场的投资者极有可能成为最终的“接盘侠”。“一键发币”平台暗中增发项目币
3月25日,区块链安全公司北京链安披露,黄金链项目方在以太坊浏览器上发现,项目代币HJL的数量多于发行总量。经验证,多出来的币既不是同名币也不是假币,更像是凭空出现在一个未知地址里。项目方宣传资料显示,HJL代币的发行总量为4300万枚。但一个“0xfA6D”开头的未知地址曾一次性获得了43万枚代币,恰为HJL发行总量的1%。奇怪的是,该地址既不是项目方所有的地址,也没有转入HJL代币的记录,通过区块链浏览器无法溯源到这部分HJL从何而来。搜索HJL的信息,该代币已于2月28日上线BJEX交易所,在二级市场上形成价格。3月26日,HJL报价0.008USDT,按此计算,“0xfA6D”开头地址获得的HJL价值3440USDT,折合24700元。
“一键游广西”文旅数字藏品上线:金色财经消息,近日,广西文旅区块链上线暨程阳八寨永济桥数字藏品发行仪式在北海市举行。广西壮族自治区文化和旅游厅党组书记、厅长甘霖,自治区党委宣传部副部长王晓华,桂林电子科技大学校长徐华蕊等共同按下启动键。
“一键游广西”是广西壮族自治区党委、政府“十四五”期间重点建设的智慧旅游项目,今年,该项目积极探索文旅元宇宙发展新模式,依托银联的数字金融技术,联合桂林电子科技大学等区内主要高校、中国旅游集团等文旅龙头企业,牵头打造具备自主知识产权的广西文旅区块链联盟链,并通过发行数字藏品的方式先行探索,共建良好的文旅区块链行业发展模式,逐步打造广西文旅元宇宙生态体系。(潇湘晨报)[2022/6/4 4:01:21]
“0xfA6D”开头地址凭空出现HJL代币尽管仅占HJL总量的1%,但这笔莫名多出来的币无异于空手套白狼,损害了项目方利益。最终,北京链安通过查询HJL的发币合约发现了端倪,该智能合约部署到链上时,在代码层就设置了向“0xfA6D”开头的地址充值总供应量1%代币的指令,且指令中包含悄悄增发的这笔币不计入总发行量的设置。经进一步沟通,北京链安了解到,项目方的发币合约并非自主开发,而是找了一个名为“易代币”的一键发币平台外包完成。随后,北京链安在测试网使用易代币部署发币合约,检查合约代码后发现,该平台采取了同样的手段,暗地里增发了代币,同样转到了上述“0xfA6D”开头的地址。至此,HJL莫名增发事件水落石出。外包发币平台在代码上作梗,不告知客户的情况下,增发并窃取客户项目总量1%的代币。一旦客户项目上所后,这些增发的代币极有可能被卖出套现。截至3月26日,“0xfA6D”开头的地址中已完成4笔HJL的转出,共计33万枚。“傻瓜式”发币易让项目方裸奔
MXC抹茶上线首期合约“一池双挖”DeFi超级矿工计划,同时可挖WOO、RAK:据官方公告,10月30日00:00-11月1日24:00,MXC抹茶推出首期合约“一池双挖”DeFi超级矿工计划。首期合约挖矿资产无需质押锁仓,并采取“一池双挖”出矿方式,挖矿期间用户合约账户持有3000USDT且交易BTCUSDT不低于2000张,即可根据合约账户资产占比,同时挖矿产出WOO、RAK 。其中,WOO挖矿总额度12万枚,每日挖矿额度4万枚 ;RAK 挖矿总额度 27枚,每日挖矿额度9枚 。可通过原文链接报名参与。除挖矿收益外,报名成功即可领取USDT赠金;挖矿期间BTCUSDT合约手续费将以赠金形式返还50%;充值可得最高100USDT赠金奖励。[2020/10/29]
值得关注的是,在“0xfA6D”开头的地址中,除了HJL,还有Moneyhome(MH)、PhantomMatter(PHTM2)、CRS(CRS)、LibraPi(LP)等多个ERC20代币,这些币产生的方式与HJL类似,都如凭空出现一般。安全人员推测,这些代币的发行方可能都采用了易代币的一键发币功能。市面上,除了易代币之外,还可以搜索到快发币、FinChain等一键发币平台。这些平台基本就是利用智能合约发币的“傻瓜版”,只需要在发币界面填写代币全称、简称、初始发行量等基本要素,就可以生成发币合约,产生定制的代币。有的第三方发布平台还提供一键开交易所、一键众筹以及对接交易所上币等服务。第三方发币平台在收取费用上不尽相同。以发行最基本的ERC20代币为例,易代币收费为39.99美元,快发币则收取1个ETH。除此之外,这些平台还会为使用者提供特殊需求,发币界面显示,包括销毁、合并转账、锁定、增发等功能,当然,每增加一个功能,价格也会随之提升。
被传谣“一锅端” 虎符回应:不会花钱去解决黑稿:金色财经报道,7月20日消息,某公众号平台发文称“因涉嫌私吞用户资产,虎符交易所被一锅端”。
对此,虎符联合创始人陈小海表示:“虎符运营一切正常,文章内容纯属谣言。这个行业和市场需要大家辨别是非的能力,目前虎符虽未收到对方主动要求如何,但类似小自媒体要生存,黑稿事件在行业司空见惯。针对文章提及的无稽之谈,虎符不会花钱去解决,只因圈里滋养了太多类似的案例和蛀虫,才造就现在类似小自媒体随便拼凑点碎片及各种“截屏”信息来肆意传播就可以拿钱,这个场虎符不捧。虎符更多精力还是做好产品和自己,不断优化和完善,敬业为市场和用户服务。”[2020/7/20]
某发币平台的官网页面北京链安告诉蜂巢财经,目前暂时没有发现其他平台存在偷留“后门”增发、窃币的情况,但此类操作门槛极低,不排除后续会有新的案例出现。安全机构披露的这一现象也给依赖外包服务的区块链项目敲响了警钟。北京链安认为,委托外包技术团队的项目方处于一种极不安全的“裸奔”状态,在使用所谓的发币平台时,整个过程对他们来说是一个黑盒,无法知晓里面的猫腻。更值得警惕的是,目前很多中小交易所在上币时也不会对项目方的代码审计做要求,这就造成问题代码里的“机关”通过层层关卡却无法被及时堵截的风险。那么,一旦出现上述情况如何补救?北京链安向蜂巢财经表示,如果发币合约已经部署到链上,在技术上很难直接修正,只能重新部署合约,而这又分两种境况。该安全机构进一步解释,如果项目还没上交易所,且代币尚未充分派发,重新开发合约的影响相对较小,仅需告知投资者此前发放的币作废,再重新发放即可。另一种情况是项目已经登陆交易所,并在二级市场充分交易。项目方则需要在重新部署合约后,跟交易所、投资者沟通并制定切换代币的方案,“这种情况下,不仅流程更加繁琐,也可能对项目方的声誉造成负面影响。”北京链安提醒,项目团队如涉及外包开发,不仅需要评估外包团队的能力,同时评估这些团队的道德风险,此外,智能合约的安全审计环节也必不可少。增发币地址暴露“三无”项目
动态 | 浪潮“一贷通”综合金融服务平台正式发 依托区块链等技术:浪潮“一贷通”综合金融服务平台在世界互联网大会正式发布,“一贷通”在依法合规、企业授权的前提下,依托大数据、区块链、AI等技术优势,充分整合政府、互联网数据资源,建设、完善基于大数据的企业信用体系,形成科技金融创新引擎,为中小微企业提供高效便利的融资服务。(齐鲁网)[2019/10/20]
“一键发币”平台在合约代码上作恶固然损害项目方利益,但同时也秀出了区块链业内部分项目方的技术“底裤”。在网上搜索“以太坊发币”,可以看到很多ERC20发币教程,有教程编写者称,利用以太坊的智能合约“可以轻松编写属于自己的代币”。
网上有很多发行ERC20代币的教程北京链安介绍,由于ERC20代币发行已经有一套标准的开发模板,发行代币的功能要求并不高,只要具备基本的Solidity语言开发能力,且对以太坊上合约部署和验证比较熟悉,确实无需第三方参与即可完成发行Token的工作。按理说,对于动辄就称要“变革”和“颠覆”互联网的区块链项目方来说,发币算不得难题。但“一键发币”这种傻瓜版平台的出现,似乎给出了相左的答案。逐一搜索“0xfA6D”开头地址中的代币信息,不难发现,这些项目都是所谓的“创新币种”,风险极高。以已经登陆BJEX交易所的黄金链为例,在其上币公告中,并没有公布官网和白皮书,仅描述这是一个基于区块链技术的全球账本型信息交互协作云平台。在网上也找不到该项目的官网信息,项目到底由谁运作不得而知。上架该项目的BJEX交易所目前在非小号上排名第108位。另一个Moneyhome(MH)项目,仅可以查到相关的宣传资料,“颠覆所有互联网金融”、“内盘币价只涨不跌”等字眼简单粗暴,描述的裂变返利模式也十分可疑,有网友称,Moneyhome已于2月29日崩盘。“0xfA6D”开头的地址暴露出一批币圈“三无”项目,连发币都要找外包的项目,如何指望他们开发出一个区块链网络?北京链安向蜂巢财经表示,目前币圈市场参与者良莠不齐,很多项目方缺乏技术背景和能力,对于只想捞一笔的人来说,“求快”才是目的,他们的资源、业务核心也侧重在市场、运营等环节,在技术上并没有长期的发展路线,所以他们也不会专门建立成建制的研发团队,“找第三方平台快速开发和部署合约显然是更经济的做法。”在北京链安看来,诸如开后门增发代币、发同名假币等行为其实很容易发现,因为多数发币合约在部署后都会开源,只要进行相关安全审计是可以及时察觉的。对于裸泳的“三无”项目来说,技术能力从来不是重点。当他们打着在二级市场“捞一笔”的算盘时,殊不知,“一键发币”平台率先在暗中埋雷。如果这种项目一旦进入二级市场,投资者会成为最终受害的“接盘侠”。
印尼科技公司:比特币根据伊斯兰教法“一般是允许的”:根据4月12日星期四发布的新闻稿,印度尼西亚金融科技公司Blossom Finance内部伊斯兰教法顾问发布的报告称,比特币(BTC)根据伊斯兰教法是“一般是允许的”。[2018/4/13]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。