当前位置《locates》:主页 > 比特币资讯 > 正文


比特币骗局:token背后潜伏的bancor危机

  比特币骗局:token背后潜伏的bancor危机

  代币发行平台bancor在周一早上发生“安全漏洞”后脱机,损失了数百万美元《měi yuán》的加密货币。虽然事后bancor公司在twitter上发帖称,在安全事件发生后该公司将其平台下线,并表示“没有用户钱包被泄露”。但根据coinmarketcap的数据透露,该货币的价格《Prices》在过去一天下跌了大约《dà yuē》14%,价格《Prices》在2.73美元左右。

  根据后续声明透露,该公司总共损失了约1350万美元。

  漏洞让很多人损失了很多加密货币,即使是那些不允许《yǔn xǔ》签订智能合同的货币,也容易受到错误的影响。就连衡量其他《qí tā》硬币的基准比特币也有它的份额,就像2010年的漏洞,在74638块中创造了1,800亿比特币。虽然很快就修好了,但没有人得到或丢失硬币。以太坊的用户从来没有这么幸运《xìng yùn》过。像dao和最近的bancor(其1250万美元的损失被归因为他们智能合同中允许《yǔn xǔ》的)这样《then》的事件已经《yǐ jing》将加密丢失的数量推到了10亿美元。

  其实有很大一部分是因为智能合约存在管理《guǎn lǐ》员权限过高的原因。

  致命问题《wèn tí》可能《would》会出现《chū xiàn》在两个方面:一是项目方滥用权限,二是超级管理《guǎn lǐ》员身份被盗用。这两种情况一旦发生,相关 token 生态可能《would》会迅速崩塌。

  关于bancor团队如何《rú hé》处理被盗事件:

  bancor 项目方在攻击《gōng jī》发生后,声称是识别出攻击《gōng jī》者地址,冻结了攻击者偷来的 bnt 代币。经过调查,bancor 管理员实际上是动用了 destroy() 方法来“销毁”用户手中的 token。

  比特币骗局:token背后潜伏的bancor危机

  

 

  bancor 团队也发表声明称普通用户的钱包没有受到影响,并进一步解释铸币、烧币以及存储大量以太币是他们协议中价格发现机制的一部分。

  作为比特币和区块链爱《ài》好者,都是崇尚去中心《center》化。然而《rán ér》,很多持币者可能还不太清楚,目前各类 token 项目智能合约管理员拥有超级权限竟已逐渐成为《Become》常态. 据不完全《completely》统计,排名前 570 名的 token 合约中,有342个合约存在只有管理员能调用的功能,不少合约更存在管理员任意铸币、烧币、冻结账户、关停转账等过高权限。

  就好比如status(snt)和funfair(fun)这两个热门项目都存在着非常严重的管理员权限过高问题《wèn tí》。

  status合约中有名为controller的管理员角色,可调用generatetokens()往任意地址增发代币,可调用destroytokens()销毁任意地址上的代币。但status项目的白皮书并没有相关特殊权限声明。此外,status合约还应用了可升级的代理合约机制,管理员可以《can》通过任意设置代理合约controller地址的方式,在关键函数前面插入可升级的校验逻辑,来影响转账等关键操作。

  

比特币骗局

 

  知名的funfair(fun)项目也存在与status类似的问题。

  倘若有人作恶,增发巨额数量的token至市场上抛售,后果不堪设想。

  此外,交易所作为区块链项目生态中的中坚力量,也应当积极督促项目方限制过高权限以及透明运营。

  目前,区块链浏览器网站 etherscan 已将攻击者的地址标注为 fake_phishing1701 和 fake_phishing1702。

  

比特币骗局

 币圈先生

  以 bancor 为例,在巨大的经济《jīng jì》利益面前,即使我们信任了发行方不会滥用权限,却依然无法《to be》保证别有用心者不会借此攻击。对于发行与运营极度依赖项目方的 token,可能我们永远无法《to be》形成《caused》《xíng chéng》类似对比特币的共识与信仰。

  bancor 危机也给我们带来很多反思:

  1、bancor 是否是真正的去中心《center》化交易协议

  2、智能合约在哪些情况下需要管理员

  3、合约管理员权限的边界在何处

  4、如何《rú hé》保障钱包及私钥安全

  比特币骗局:token背后潜伏的bancor危机管理员权限是把双刃剑。在 bancor 事件中,黑客利用了管理员权限盗取代币,而项目方也正利用了管理员权限来降低损失。不过我们认为,开发《developing》者依然可以《can》通过良好的代码设计来降低 token 和 协议合约对管理员的依赖。同时,我们也号召大家,去更多地了解相关项目的智能合约,利用社区力量监督项目管理员权限。

本文地址:http://www.rhinespring.com//zx/1948.html
上一篇:比特币行情:比特币半小时涨幅近10% 有可能突破 下一篇:中国《zhōng guó》比特币交易平台:币圈有点乱,仍会想去看
  分享:   

比特币骗局:token背后潜伏的bancor危机


相关推荐