欧易OKEx
数字资产服务平台

“一键发币”平台暗自增发,暴露三无项目

近日,北京链安披露了一起奇怪的增发事件。

黄金链(HJL)项目方近期在以太坊浏览器上察觉,存在一些未知地址持有项目发行总量外的HJL代币。北京链安审计合约代码后发现,项目方找的“一键发币”平台易代币在合约代码上作祟,暗自增发了HJL总量1%的代币,并窃取到指定地址里,谋求套现。

据北京链安披露,除了HJL外,中招的还有MH、CRS、LP等项目方。

暗开“后门”的第三方发币平台存在风险,使用第三方工具发币的项目方也遭遇质疑:连用智能合约发Token这种基础工作都难以自主完成,被人在合约里布置了后门也查不出来,这样的技术素养如何承担区块链项目开发?

莫名增发事件,不仅揭露了“傻瓜”发币平台暗藏后门多造币、等套现的问题,也将一众无官网、无白皮书、无技术实力的“三无”项目摆上前台。一旦这些项目上了交易所,二级市场的投资者极有可能成为最终的“接盘侠”。

“一键发币”平台暗中增发项目币

3月25日,区块链安全公司北京链安披露,黄金链(HJL)项目方在以太坊浏览器上发现,项目代币HJL的数量多于发行总量。经验证,多出来的币既不是同名币也不是假币,更像是凭空出现在一个未知地址里。

项目方宣传资料显示,HJL代币的发行总量为4300万枚。但一个 “0xfA6D”开头的未知地址曾一次性获得了43万枚代币,恰为HJL发行总量的1%。

奇怪的是,该地址既不是项目方所有的地址,也没有转入HJL代币的记录,通过区块链浏览器无法溯源到这部分HJL从何而来。

搜索HJL的信息,该代币已于2月28日上线BJEX交易所,在二级市场上形成价格。3月26日,HJL报价0.008USDT,按此计算,“0xfA6D”开头地址获得的HJL价值3440 USDT,折合24700元。

“0xfA6D”开头地址凭空出现HJL代币

尽管仅占HJL总量的1%,但这笔莫名多出来的币无异于空手套白狼,损害了项目方利益。

最终,北京链安通过查询HJL的发币合约发现了端倪,该智能合约部署到链上时,在代码层就设置了向“0xfA6D”开头的地址充值总供应量1%代币的指令,且指令中包含悄悄增发的这笔币不计入总发行量的设置。

经进一步沟通,北京链安了解到,项目方的发币合约并非自主开发,而是找了一个名为“易代币”的一键发币平台外包完成。

随后,北京链安在测试网使用易代币部署发币合约,检查合约代码后发现,该平台采取了同样的手段,暗地里增发了代币,同样转到了上述“0xfA6D”开头的地址。

至此,HJL莫名增发事件水落石出。外包发币平台在代码上作梗,不告知客户的情况下,增发并窃取客户项目总量1%的代币。一旦客户项目上所后,这些增发的代币极有可能被卖出套现。

截至3月26日,“0xfA6D”开头的地址中已完成4笔HJL的转出,共计33万枚。

“傻瓜式”发币易让项目方裸奔

值得关注的是,在“0xfA6D”开头的地址中,除了HJL,还有Moneyhome (MH)、Phantom Matter (PHTM2)、CRS (CRS)、Libra Pi (LP)等多个ERC20代币,这些币产生的方式与HJL类似,都如凭空出现一般。安全人员推测,这些代币的发行方可能都采用了易代币的一键发币功能。

市面上,除了易代币之外,还可以搜索到快发币、FinChain等一键发币平台。这些平台基本就是利用智能合约发币的“傻瓜版”,只需要在发币界面填写代币全称、简称、初始发行量等基本要素,就可以生成发币合约,产生定制的代币。

有的第三方发布平台还提供一键开交易所、一键众筹以及对接交易所上币等服务。

第三方发币平台在收取费用上不尽相同。以发行最基本的ERC20代币为例,易代币收费为39.99美元,快发币则收取1个ETH。除此之外,这些平台还会为使用者提供特殊需求,发币界面显示,包括销毁、合并转账、锁定、增发等功能,当然,每增加一个功能,价格也会随之提升。

某发币平台的官网页面

北京链安告诉蜂巢财经,目前暂时没有发现其他平台存在偷留“后门”增发、窃币的情况,但此类操作门槛极低,不排除后续会有新的案例出现。

安全机构披露的这一现象也给依赖外包服务的区块链项目敲响了警钟。北京链安认为,委托外包技术团队的项目方处于一种极不安全的“裸奔”状态,在使用所谓的发币平台时,整个过程对他们来说是一个黑盒,无法知晓里面的猫腻。

更值得警惕的是,目前很多中小交易所在上币时也不会对项目方的代码审计做要求,这就造成问题代码里的 “机关”通过层层关卡却无法被及时堵截的风险。

那么,一旦出现上述情况如何补救?北京链安向蜂巢财经表示,如果发币合约已经部署到链上,在技术上很难直接修正,只能重新部署合约,而这又分两种境况。

该安全机构进一步解释,如果项目还没上交易所,且代币尚未充分派发,重新开发合约的影响相对较小,仅需告知投资者此前发放的币作废,再重新发放即可。

另一种情况是项目已经登陆交易所,并在二级市场充分交易。项目方则需要在重新部署合约后,跟交易所、投资者沟通并制定切换代币的方案,“这种情况下,不仅流程更加繁琐,也可能对项目方的声誉造成负面影响。”

北京链安提醒,项目团队如涉及外包开发,不仅需要评估外包团队的能力,同时评估这些团队的道德风险,此外,智能合约的安全审计环节也必不可少。

增发币地址暴露“三无”项目

“一键发币”平台在合约代码上作恶固然损害项目方利益,但同时也秀出了区块链业内部分项目方的技术“底裤”。

在网上搜索“以太坊发币”,可以看到很多ERC20发币教程,有教程编写者称,利用以太坊的智能合约“可以轻松编写属于自己的代币”。

网上有很多发行ERC20代币的教程

北京链安介绍,由于ERC20代币发行已经有一套标准的开发模板,发行代币的功能要求并不高,只要具备基本的Solidity语言开发能力,且对以太坊上合约部署和验证比较熟悉,确实无需第三方参与即可完成发行Token的工作。

按理说,对于动辄就称要“变革”和“颠覆”互联网的区块链项目方来说,发币算不得难题。但“一键发币”这种傻瓜版平台的出现,似乎给出了相左的答案。

逐一搜索“0xfA6D”开头地址中的代币信息,不难发现,这些项目都是所谓的“创新币种”,风险极高。

以已经登陆BJEX交易所的黄金链(HJL)为例,在其上币公告中,并没有公布官网和白皮书,仅描述这是一个基于区块链技术的全球账本型信息交互协作云平台。在网上也找不到该项目的官网信息,项目到底由谁运作不得而知。上架该项目的BJEX交易所目前在非小号上排名第108位。

另一个Moneyhome (MH)项目,仅可以查到相关的宣传资料,“颠覆所有互联网金融”、“内盘币价只涨不跌”等字眼简单粗暴,描述的裂变返利模式也十分可疑,有网友称,Moneyhome 已于2月29日崩盘。

“0xfA6D”开头的地址暴露出一批币圈“三无”项目,连发币都要找外包的项目,如何指望他们开发出一个区块链网络?

北京链安向蜂巢财经表示,目前币圈市场参与者良莠不齐,很多项目方缺乏技术背景和能力,对于只想捞一笔的人来说,“求快”才是目的,他们的资源、业务核心也侧重在市场、运营等环节,在技术上并没有长期的发展路线,所以他们也不会专门建立成建制的研发团队,“找第三方平台快速开发和部署合约显然是更经济的做法。”

在北京链安看来,诸如开后门增发代币、发同名假币等行为其实很容易发现,因为多数发币合约在部署后都会开源,只要进行相关安全审计是可以及时察觉的。

对于裸泳的“三无”项目来说,技术能力从来不是重点。当他们打着在二级市场“捞一笔”的算盘时,殊不知,“一键发币”平台率先在暗中埋雷。如果这种项目一旦进入二级市场,投资者会成为最终受害的“接盘侠”。

猜你喜欢