EOS,我們都知道,其作爲主流加密貨幣的一種,但如今卻出現假的EOS幣,到底是怎麼回事?
6月21日下午兩點,根據成都鏈安區塊鏈安全態勢感知系統Beosin-Eagle Eye檢測發現,賬戶larry5555555發佈了10億EOS假幣並分發到了數個小號(pandoras1111,pandoras.e等),目前該感知系統還在持續追蹤這些假幣的流向。
爲什麼加密貨幣會有“假幣”?
我們知道,貨幣造假在現實生活中時有發生,如製作假鈔、攻擊銀行或央行清算服務器篡改賬戶餘額等。雖然加密貨幣在技術上提高了造假的壁壘,就以使用POW共識算法的比特幣來說,想要篡改或者雙花就需要耗費51%以上的算力,即表示篡改或者雙花概率基本爲零,
所以通常認爲造假應該是不大可能的事情。但是實際上又並非如此,自加密貨幣誕生以來,也頻頻發生“假幣攻擊”的現象。
那麼,爲什麼會出現加密貨幣“假幣”的?我們來具體分析一下過往的“假幣”案例,一起探個究竟。
案例一:
2018年2月,以太坊網絡驚現假ETH幣。從表面上來看,這個假的幣種跟市值排名第二大的以太坊完全一樣,其實這個假幣就是在ETH前面加了個空格符號,即爲“空格+ETH”,看上去幾乎做到以假亂真,而且讓絕大多數人很難從表面上區分開來。
原因分析:
其實發行一款代幣相對來說還是比較簡單的,只需要在創建Token的指令中加上代幣參數就可以了。普通的字母代幣或着是加個空格符號的,其實並不奇怪,而這裏的假ETH是通過智能合約自己發的幣。
辨別和防範:
最簡單的一個方法就是去etherscan網站查合約地址,真的ETH就叫“ether”,真的ETH不是ERC20協議的代幣,而基於ERC20所發的代幣顯示的是“ eth token”,因此在以太坊網絡上發行的“ETH”、“ ETH(帶空格)”的都是假幣。且以太坊網絡上的代幣名稱是不可以重複的,如果一旦有重複的代幣,那麼它的名稱後面會自動帶上數字符號作爲區分的。
案例二:
2018年9月,去中心化交易所Newdex由於出現了一個嚴重的安全漏洞,混入10億個EOS假幣,最終,攻擊者直接從用戶手中竊取了價值5.8萬美元的加密貨幣。
2018年12月,去中心化交易所NEWDEX再次遭遇假幣攻擊,比特派EETH在其平臺上線後便遭到假幣攻擊。而EETH也受此影響,短時間內暴跌99%。
原因分析:
這兩次假幣攻擊的主要原因在於這家運行在EOS上的Newdex,其實本身就是個僞去中心化交易所,並且沒有使用任何智能合約代碼。再者,EOS作爲以太坊的競爭公鏈,任何人都可以基於它發行代幣,並且沒有命名的限制。所以導致了攻擊者可以在Newdex上發行名爲“EOS”的代幣,然後掛出大額買單,用假的EOS買入平臺上的其它代幣,然後再用這些代幣買入真的EOS,再轉到Bitfinex交易所,因此而獲利。
辨別和防範:
理論上來說,去中心化交易所比中心化交易所更加安全,但是目前的去中心化交易所在技術上還無法滿足交易者高頻交易的需求,所以這就導致很多聲稱是去中心化交易所的平臺,事實上還是採用中心化的交易方式。但是,這些平臺與目前幾大知名的中心化交易所相比,缺乏技術和風控的優勢。
去中心化屬於未來的趨勢,但是目前來說,還是建議選擇知名度較高的中心化交易所更加靠譜,如幣安、火幣、OK、Coinbase、Bitfinex等,這些交易所很少會發生非操作性失誤而導致損失的問題,並且即使發生了損失,其平臺也有具有很強的賠付能力。
當然,也有一些知名度較高的去中心化交易所,如以德、比特股等,投資者也可以考慮在這些交易所上進行交易。
但無論選擇哪種交易所,對於投資者來說,都必須要在保證資金安全的條件下再去考慮風險收益和交易體驗。
案例三:
2019年4月,BTTBank遭遇“假幣攻擊”,地址以TCX1Cay開頭的黑客,創建了大量的BTTX假幣,並向多個地址轉入共計4,000萬個BTTX代幣,並把假的BTTX洗成真BTT進而對以TXHFhq開頭的BTTBank遊戲合約實施攻擊。BTTBank共計損失1.8億BTT(價值約85萬元)。
原因分析:
黑客採用的是假幣攻擊方式,通過調用BTTBank智能合約的invest函數,之後再調用多次withdraw函數取出BTT真幣。這是繼TransferMint漏洞之後,一種新型的具有廣泛性危害的漏洞,會威脅到多個類似DApp合約的安全。這也許是開發者對波場代幣的使用機制研究不足,套用了以太坊的代幣使用方法,才導致黑客有機可乘。
辨別和防範:
其實這次發生的假幣漏洞並非個例,曾經類似的事件也在其它公鏈上發生過多起,主要表現爲假充值漏洞和假幣漏洞兩種情況。
USDT和以太坊都曾發生過假充值漏洞,而EOS公鏈上曾發生過多個DApp的假幣漏洞現象。這些漏洞都是由於開發者代碼編寫不當導致的,公鏈和代幣本身並沒有漏洞。
因此TRON合約開發者應警惕此類安全風險,加強合約的安全防護級別和安全運維強度,儘量防範未然,避免不必要的損失,必要時可聯繫第三方專業審計團隊,在上鍊前進行完善的代碼安全審計,共同維護公鏈安全生態。
從以上三個案例可以看到,“假幣”的產生雖然有多種方式,但是其導致損失的結果也並非必然,多是因爲投資者和開發者的風險意識弱,才讓“假幣”有機可乘。而此次EOS 再次出現“假幣”,表明這種假幣攻擊仍在起風做浪。
在此提醒各項目方和各投資者關注事件走勢,做好安全風險規避和必要的自查行爲,提高警惕,從而避免用戶資產受損。