哈喽哈喽,我也想进行一次“假充值”

是不是经常能看见那些饿狼带着汹涌的爱,锦衣夜行,出没于各大交易所?

近日,土豆酱听闻市场中出现了一种叫做“假充值”的安全漏洞,这类漏洞与以往大有不同。

据慢雾区消息,交易所在进行USDT充值交易确认是否成功时存有逻辑缺陷,其未校验区块链上交易详情中 valid 字段值是否为 true,这就导致了“假充值”,用户未损失任何 USDT 却成功向交易所充值了 USDT,而且这些 USDT 可以正常进行交易。

(图片来源:慢雾科技)

等等,等等,怎么说?

这就是说,你不需要往自己个人的账户中充钱,你的账户就可以自己“变钱”,并且这笔钱还可以立马用于交易。这简直就是,你“假装”给自己打钱,而交易所却在认真的为你的账户汇钱,是不是有一种“太美好”的既视感?

如果这一漏洞被黑客利用,可想而知,会有多少真金白银以“假装”走正规程序的方式,流入一个个深不见底的腰包之中。

据悉,前不久,慢雾区对外声称:“涉及USDT 交易的交易所,注意自查。”

瑟瑟发抖的大小交易所们随即展开了自查工作,并对外公布了检验结果:

ZG.TOP交易平台:不受USDT漏洞影响;

CHAINUP:客户不存在USDT充值问题;

币安:已排查,未发现USDT问题;

BigONE:已进行安全排查,不存在USDT漏洞;

BitForex:经过技术排查,不存在USDT漏洞;

ZB:经排查,ZB不存在USDT“假充值”漏洞;

Bibox:经过技术排查,不存在USDT漏洞;

OKEx:已进行技术排查 不存在USDT"假充值漏洞"。

......

这场风波刚过去不久,慢雾区又于7月9日再次发布了以太坊代币“假充值”漏洞攻击预警,并声称:“相关交易所、中心化钱包、代币合约需要特别警惕,尽快自查以太坊相关代币的充值是否存在异常。已经发现有交易所及中心化钱包遭受此攻击。”

针对于此次事件,慢雾科技联合创始人余弦在其朋友圈中表示,“这类漏洞带来的影响将会非常深远,而且目前已知的某些修复方式可能会继续出问题,不少知名代币可能会面临重发痛苦...不出意外,周三我们会正式披露专门的技术报告。”

同时,余弦表示:“一切输入都不靠谱,USDT 如此,以太坊等也如此,余额校验这个问题会是一个永恒的安全实践问题。”

另外,LotusBitcoin首席架构师King向链盛财经表示:“这次被爆出的‘假充值’漏洞与日前USDT事件有异曲同工之处,但由于详细的代码漏洞还未公布,关于此次以太坊的‘假充值’事件还不能完全确定影响有多大。”

以下为“慢雾区”发布的此次攻击事件前后相关时间线:

2018/6/28 慢雾区情报,USDT “假充值”漏洞攻击事件披露

2018/7/1 慢雾安全团队开始分析知名公链是否存在类似问题

2018/7/7 慢雾安全团队捕获并确认以太坊相关代币“假充值”漏洞攻击事件

2018/7/8 慢雾安全团队分析此次影响可能会大于 USDT “假充值”漏洞攻击事件,并迅速通知相关客户及慢雾区伙伴

2018/7/9 慢雾区对外发出第一次预警

慢雾区计划在 7 月11日公布细节报告,进行“负责任的披露”。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180709A1GDBB00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券