今日下午两点,根据成都链安区块链安全态势感知系统Beosin-EagleEye检测发现,账户larry5555555发布了10亿EOS假币并分发到了数个小号,目前该感知系统还在持续追踪这些假币的流向。
为什么加密货币会有“假币”?
我们知道,货币造假在现实生活中时有发生,如制作假钞、攻击银行或央行清算服务器篡改账户余额等。虽然加密货币在技术上提高了造假的壁垒,就以使用POW共识算法的比特币来说,想要篡改或者双花就需要耗费51%以上的算力,即表示篡改或者双花概率基本为零,
所以通常认为造假应该是不大可能的事情。但是实际上又并非如此,自加密货币诞生以来,也频频发生“假币攻击”的现象。
加拿大央行:Bitcoin所有者从2021年的13%下降到2022年8月的9%:金色财经报道,Bitcoin News在X平台(原推特)上表示,加拿大央行最近发现Bitcoin所有者从2021年的13%下降到2022年8月的9%,原因是犯罪和熊市吓坏了投资者。[2023/8/27 12:58:45]
那么,为什么会出现加密货币“假币”的?我们来具体分析一下过往的“假币”案例,一起探个究竟。
案例一:
2018年2月,以太坊网络惊现假ETH币。从表面上来看,这个假的币种跟市值排名第二大的以太坊完全一样,其实这个假币就是在ETH前面加了个空格符号,即为“空格+ETH”,看上去几乎做到以假乱真,而且让绝大多数人很难从表面上区分开来。
Animoca Brands旗下NFT系列Mocaverse公布Realm Ticket NFT获奖名单:2月7日消息,Animoca Brands旗下NFT系列Mocaverse公布Realm Ticket NFT获奖名单,共有1500个地址将获得Realm Ticket空投。
Mocaverse系列拥有 8,888 个 Mocas,每个角色都属于五个部落之一:梦想家、建设者、天使、连接者和新资本家。每个部落都代表了 Web3 中变革者的多样化但互补的角色。 Mocaverse 将具有四个主要的实用类别,称为领域,代表该系列的核心支柱:学习、游戏、构建和行善。[2023/2/8 11:53:16]
原因分析:
其实发行一款代币相对来说还是比较简单的,只需要在创建Token的指令中加上代币参数就可以了。普通的字母代币或着是加个空格符号的,其实并不奇怪,而这里的假ETH是通过智能合约自己发的币。
NFT 借贷协议 XCarnival 遭到攻击,黑客获利约 380 万美元:6月26日消息,PeckShield 发推称,NFT 借贷协议 XCarnival 遭到攻击,黑客获利 3087 枚以太坊(约 380 万美元),而协议损失可能更高。黑客地址为 0xb7CBB4d43F1e08327A90B32A8417688C9D0B800a,PeckShield 表示本次攻击或由于已解除抵押的 NFT 仍被作为抵押品所致。[2022/6/27 1:33:01]
辨别和防范:
最简单的一个方法就是去etherscan网站查合约地址,真的ETH就叫“ether”,真的ETH不是ERC20协议的代币,而基于ERC20所发的代币显示的是“ethtoken”,因此在以太坊网络上发行的“ETH”、“ETH”的都是假币。且以太坊网络上的代币名称是不可以重复的,如果一旦有重复的代币,那么它的名称后面会自动带上数字符号作为区分的。
案例二:
2018年9月,去中心化交易所Newdex由于出现了一个严重的安全漏洞,混入10亿个EOS假币,最终,攻击者直接从用户手中窃取了价值5.8万美元的加密货币。
2018年12月,去中心化交易所NEWDEX再次遭遇假币攻击,比特派EETH在其平台上线后便遭到假币攻击。而EETH也受此影响,短时间内暴跌99%。
原因分析:
这两次假币攻击的主要原因在于这家运行在EOS上的Newdex,其实本身就是个伪去中心化交易所,并且没有使用任何智能合约代码。再者,EOS作为以太坊的竞争公链,任何人都可以基于它发行代币,并且没有命名的限制。所以导致了攻击者可以在Newdex上发行名为“EOS”的代币,然后挂出大额买单,用假的EOS买入平台上的其它代币,然后再用这些代币买入真的EOS,再转到Bitfinex交易所,因此而获利。
辨别和防范:
理论上来说,去中心化交易所比中心化交易所更加安全,但是目前的去中心化交易所在技术上还无法满足交易者高频交易的需求,所以这就导致很多声称是去中心化交易所的平台,事实上还是采用中心化的交易方式。但是,这些平台与目前几大知名的中心化交易所相比,缺乏技术和风控的优势。
去中心化属于未来的趋势,但是目前来说,还是建议选择知名度较高的中心化交易所更加靠谱,如币安、火币、OK、Coinbase、Bitfinex等,这些交易所很少会发生非操作性失误而导致损失的问题,并且即使发生了损失,其平台也有具有很强的赔付能力。
当然,也有一些知名度较高的去中心化交易所,如以德、比特股等,投资者也可以考虑在这些交易所上进行交易。
但无论选择哪种交易所,对于投资者来说,都必须要在保证资金安全的条件下再去考虑风险收益和交易体验。
案例三:
2019年4月,BTTBank遭遇“假币攻击”,地址以TCX1Cay开头的黑客,创建了大量的BTTX假币,并向多个地址转入共计4,000万个BTTX代币,并把假的BTTX洗成真BTT进而对以TXHFhq开头的BTTBank游戏合约实施攻击。BTTBank共计损失1.8亿BTT。
原因分析:
黑客采用的是假币攻击方式,通过调用BTTBank智能合约的invest函数,之后再调用多次withdraw函数取出BTT真币。这是继TransferMint漏洞之后,一种新型的具有广泛性危害的漏洞,会威胁到多个类似DApp合约的安全。这也许是开发者对波场代币的使用机制研究不足,套用了以太坊的代币使用方法,才导致黑客有机可乘。
辨别和防范:
其实这次发生的假币漏洞并非个例,曾经类似的事件也在其它公链上发生过多起,主要表现为假充值漏洞和假币漏洞两种情况。
USDT和以太坊都曾发生过假充值漏洞,而EOS公链上曾发生过多个DApp的假币漏洞现象。这些漏洞都是由于开发者代码编写不当导致的,公链和代币本身并没有漏洞。
因此TRON合约开发者应警惕此类安全风险,加强合约的安全防护级别和安全运维强度,尽量防范未然,避免不必要的损失,必要时可联系第三方专业审计团队,在上链前进行完善的代码安全审计,共同维护公链安全生态。
从以上三个案例可以看到,“假币”的产生虽然有多种方式,但是其导致损失的结果也并非必然,多是因为投资者和开发者的风险意识弱,才让“假币”有机可乘。而此次EOS再次出现“假币”,表明这种假币攻击仍在起风做浪。
在此提醒各项目方和各投资者关注事件走势,做好安全风险规避和必要的自查行为,提高警惕,从而避免用户资产受损。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。