區塊鏈

“一鍵發幣”平台暗自增發,暴露三無項目

“一鍵發幣”平台暗自增發,暴露三無項目

文 | 凱爾

近日,北京鏈安披露了一起奇怪的增發事件。

黃金鍊(HJL)項目方近期在以太坊瀏覽器上察覺,存在一些未知地址持有項目發行總量外的HJL代幣。北京鏈安審計合約代碼後發現,項目方找的“一鍵發幣”平台易代幣在合約代碼上作祟,暗自增發了HJL總量1%的代幣,並竊取到指定地址裡,謀求套現。

據北京鏈安披露,除了HJL外,中招的還有MH、CRS、LP等項目方。

暗開“後門”的第三方發幣平台存在風險,使用第三方工具發幣的項目方也遭遇質疑:連用智​​能合約發Token這種基礎工作都難以自主完成,被人在合約里布置了後門也查不出來,這樣的技術素養如何承擔區塊鏈項目開發?

莫名增發事件,不僅揭露了“傻瓜”發幣平台暗藏後門多造幣、等套現的問題,也將一眾無官網、無白皮書、無技術實力的“三無”項目擺上前台。一旦這些項目上了交易所,二級市場的投資者極有可能成為最終的“接盤俠”。

“一鍵發幣”平台暗中增發項目幣

3月25日,區塊鏈安全公司北京鏈安披露,黃金鍊(HJL)項目方在以太坊瀏覽器上發現,項目代幣HJL的數量多於發行總量。經驗證,多出來的幣既不是同名幣也不是假幣,更像是憑空出現在一個未知地址裡。

項目方宣傳資料顯示,HJL代幣的發行總量為4300萬枚。但一個 “0xfA6D”開頭的未知地址曾一次性獲得了43萬枚代幣,恰為HJL發行總量的1%。

奇怪的是,該地址既不是項目方所有的地址,也沒有轉入HJL代幣的記錄,通過區塊鏈瀏覽器無法溯源到這部分HJL從何而來。

搜索HJL的信息,該代幣已於2月28日上線BJEX交易所,在二級市場上形成價格。 3月26日,HJL報價0.008USDT,按此計算,“0xfA6D”開頭地址獲得的HJL價值3440 USDT,折合24700元。

“一鍵發幣”平台暗自增發,暴露三無項目

“0xfA6D”開頭地址憑空出現HJL代幣

儘管僅佔HJL總量的1%,但這筆莫名多出來的幣無異於空手套白狼,損害了項目方利益。

最終,北京鏈安通過查詢HJL的發幣合約發現了端倪,該智能合約部署到鏈上時,在代碼層就設置了向“0xfA6D”開頭的地址充值總供應量1%代幣的指令,且指令中包含悄悄增發的這筆幣不計入總發行量的設置。

經進一步溝通,北京鏈安了解到,項目方的發幣合約並非自主開發,而是找了一個名為“易代幣”的一鍵發幣平台外包完成。

隨後,北京鏈安在測試網使用易代幣部署發幣合約,檢查合約代碼後發現,該平台採取了同樣的手段,暗地裡增發了代幣,同樣轉到了上述“0xfA6D”開頭的地址。

至此,HJL莫名增發事件水落石出。外包發幣平台在代碼上作梗,不告知客戶的情況下,增發並竊取客戶項目總量1%的代幣。一旦客戶項目上所後,這些增發的代幣極有可能被賣出套現。

截至3月26日,“0xfA6D”開頭的地址中已完成4筆HJL的轉出,共計33萬枚。

“傻瓜式”發幣易讓項目方裸奔

值得關注的是,在“0xfA6D”開頭的地址中,除了HJL,還有Moneyhome (MH)、Phantom Matter (PHTM2)、CRS (CRS)、Libra Pi (LP)等多個ERC20代幣,這些幣產生的方式與HJL類似,都如憑空出現一般。安全人員推測,這些代幣的發行方可能都採用了易代幣的一鍵發幣功能。

市面上,除了易代幣之外,還可以搜索到快發幣、FinChain等一鍵發幣平台。這些平台基本就是利用智能合約發幣的“傻瓜版”,只需要在發幣界面填寫代幣全稱、簡稱、初始發行量等基本要素,就可以生成發幣合約,產生定制的代幣。

有的第三方發布平台還提供一鍵開交易所、一鍵眾籌以及對接交易所上幣等服務。

第三方發幣平台在收取費用上不盡相同。以發行最基本的ERC20代幣為例,易代幣收費為39.99美元,快發幣則收取1個ETH。除此之外,這些平台還會為使用者提供特殊需求,發幣界面顯示,包括銷毀、合併轉賬、鎖定、增發等功能,當然,每增加一個功能,價格也會隨之提升。

“一鍵發幣”平台暗自增發,暴露三無項目

某發幣平台的官網頁面

北京鏈安告訴蜂巢財經,目前暫時沒有發現其他平台存在偷留“後門”增發、竊幣的情況,但此類操作門檻極低,不排除後續會有新的案例出現。

安全機構披露的這一現像也給依賴外包服務的區塊鏈項目敲響了警鐘。北京鏈安認為,委託外包技術團隊的項目方處於一種極不安全的“裸奔”狀態,在使用所謂的發幣平台時,整個過程對他們來說是一個黑盒,無法知曉裡面的貓膩。

更值得警惕的是,目前很多中小交易所在上幣時也不會對項目方的代碼審計做要求,這就造成問題代碼裡的 “機關”通過層層關卡卻無法被及時堵截的風險。

那麼,一旦出現上述情況如何補救?北京鏈安向蜂巢財經表示,如果發幣合約已經部署到鏈上,在技術上很難直接修正,只能重新部署合約,而這又分兩種境況。

該安全機構進一步解釋,如果項目還沒上交易所,且代幣尚未充分派發,重新開發合約的影響相對較小,僅需告知投資者此前發放的幣作廢,再重新發放即可。

另一種情況是項目已經登陸交易所,並在二級市場充分交易。項目方則需要在重新部署合約後,跟交易所、投資者溝通並製定切換代幣的方案,“這種情況下,不僅流程更加繁瑣,也可能對項目方的聲譽造成負面影響。”

北京鏈安提醒,項目團隊如涉及外包開發,不僅需要評估外包團隊的能力,同時評估這些團隊的道德風險,此外,智能合約的安全審計環節也必不可少。

增發幣地址暴露“三無”項目

“一鍵發幣”平台在合約代碼上作惡固然損害項目方利益,但同時也秀出了區塊鏈業內部分項目方的技術“底褲”。

在網上搜索“以太坊發幣”,可以看到很多ERC20發幣教程,有教程編寫者稱,利用以太坊的智能合約“可以輕鬆編寫屬於自己的代幣”。

“一鍵發幣”平台暗自增發,暴露三無項目

網上有很多發行ERC20代幣的教程

北京鏈安介紹,由於ERC20代幣發行已經有一套標準的開發模板,發行代幣的功能要求並不高,只要具備基本的Solidity語言開發能力,且對以太坊上合約部署和驗證比較熟悉,確實無需第三方參與即可完成發行Token的工作。

按理說,對於動輒就稱要“變革”和“顛覆”互聯網的區塊鏈項目方來說,發幣算不得難題。但“一鍵發幣”這種傻瓜版平台的出現,似乎給出了相左的答案。

逐一搜索“0xfA6D”開頭地址中的代幣信息,不難發現,這些項目都是所謂的“創新幣種”,風險極高。

以已經登陸BJEX交易所的黃金鍊(HJL)為例,在其上幣公告中,並沒有公佈官網和白皮書,僅描述這是一個基於區塊鏈技術的全球賬本型信息交互協作雲平台。在網上也找不到該項目的官網信息,項目到底由誰運作不得而知。上架該項目的BJEX交易所目前在非小號上排名第108位。

另一個Moneyhome (MH)項目,僅可以查到相關的宣傳資料,“顛覆所有互聯網金融”、“內盤幣價只漲不跌”等字眼簡單粗暴,描述的裂變返利模式也十分可疑,有網友稱,Moneyhome 已於2月29日崩盤。

“0xfA6D”開頭的地址暴露出一批幣圈“三無”項目,連發幣都要找外包的項目,如何指望他們開發出一個區塊鍊網絡?

北京鏈安向蜂巢財經表示,目前幣圈市場參與者良莠不齊,很多項目方缺乏技術背景和能力,對於只想撈一筆的人來說,“求快”才是目的,他們的資源、業務核心也側重在市場、運營等環節,在技術上並沒有長期的發展路線,所以他們也不會專門建立成建制的研發團隊,“找第三方平台快速開發和部署合約顯然是更經濟的做法。”

在北京鏈安看來,諸如開後門增發代幣、發同名假幣等行為其實很容易發現,因為多數發幣合約在部署後都會開源,只要進行相關安全審計是可以及時察覺的。

對於裸泳的“三無”項目來說,技術能力從來不是重點。當他們打著在二級市場“撈一筆”的算盤時,殊不知,“一鍵發幣”平台率先在暗中埋雷。如果這種項目一旦進入二級市場,投資者會成為最終受害的“接盤俠”。