区块链的漏洞案例

1. 微信里面有个人是做这个的，天天发这个区块链漏洞赚钱赚本金的5-6倍，赚钱后给他们佣金就行。是真的吗

不是真的，天上不会掉钱的，你别想多了，微信搜一下 区快连 能不能赚钱，你就会知道这些套路了。

2. 买了虚拟币却卖不出去！揭秘“百倍币”骗局

最近一段时间，虚拟货币的监管力度不断升级。5月21日，国务院金融稳定发展委员会明确提出要“打击比特币挖矿和交易行为，坚决防范个体风险向 社会 领域传递”。不久前，互联网金融协会、银行业协会、支付清算协会联合发布公告，要求会员机构不得展开虚拟货币交易兑换以及其他相关金融业务。

国家的禁令之下，一场虚拟币清退行动立即展开。虚拟币挖矿最为集中的地区之一“内蒙古”，5月25日公布了《关于坚决打击惩戒虚拟货币“挖矿”行为八项措施（征求意见稿）》，严格禁止虚拟币挖矿行为。

卖不掉的虚拟币

这并不是国家第一次这么大力度来监管虚拟币了。2013年，人民银行等5部委印发《关于防范比特币风险的通知》，禁止金融机构和支付机构开展比特币相关业务。2017年，人民银行等7部委发布《关于防范代币发行融资的公告》，指导地方政府排查清退涉嫌非法发行证券、非法集资的虚拟货币交易和代币发行融资平台。但此后，一些平台如火币、欧易等转移到境外，仍然面向境内居民提供服务。

今年上半年，随着虚拟币整体市值的暴涨，虚拟币已经成为了圈钱诈骗的重灾区，不少人都在高收益的诱惑之下参与境外平台组织的交易炒作活动，落入了别人精心布局的陷阱。

李女士：你看这是我当时截的图，卖出的时候它就显示交易失败。

李女士正在展示的这种虚拟币名叫TRTC，今年年初，这种虚拟币从一文不值，价格一路飙升。熟悉虚拟币投资交易的李女士看准了这个机会，在境外平台上用约合六千元人民币，买入了这种TRTC币。

李女士：我们都把这种币叫百倍币，你可以想想这个最开始的时候行情有多好，觉得它能涨一百倍。

李女士：没有怀疑，因为这个币主打的概念叫流动性挖矿，算是现在币圈一个新的投资风口吧，大家都在炒，没想过竟然最后不让卖了。

这位玩家告诉，这种TRTC币只能用另一种数字加密货币“以太坊”来购买。视频中，这位玩家正在通过手机上的App访问虚拟币交易平台，来买进以太坊，再买入TRTC币。但是在尝试把它卖掉时，系统出现了交易失败的提醒页面。

买了“百倍币”缘何不能卖？

这个虚拟币到底存在着什么问题？是交易系统出了临时故障，还是人为设计的圈套呢？

某区块链技术公司安全工程师李旋：池子里已经被全部掏空了，价值归零了，相当于把交易池里面所有的以太坊拿走，差不多有59个以太坊吧，价值是10万美金。

李旋：当时应该有挺多人来参与购买，但是卖出的话，我们其实可以看到只有这个尾号799的信息。

为何只有交易地址尾号是799的这名用户能够成功卖掉了币，而像李女士一样的其他投资者，却无一人成功卖出呢？这位799到底是谁？带着疑问，我们对TRTC币的源代码展开了分析。经过仔细的研究筛查，我们在长长的代码中，发现了这样一行小字。

李旋：在转账的函数里，其实有一个条件。最下边这一行能看到，发送者等于owner，也就是说只有owner（发行者）能卖出去，但是其他用户的话就只能买不能卖。正常的代码是没有这个限制的。

所谓的owner就是这个虚拟币的创造者。这处精心设计，让他自己成为了唯一一个有权卖出的人。不难看出，这位创造者正是尾号799的神秘用户。交易记录显示，最后一笔转走了资金池里所有以太坊的，也正是此人。

李旋：这种操作就把别人有价值的币诈骗过来了。普通用户不太懂的情况可能很快就会被吸引进去。

如何炮制“百倍币”？

看到这儿您肯定明白了，这是新技术之下一个彻头彻尾的骗局，利用的就是投资者们不懂区块链技术，却又盲目跟风投机的心理。那么这样骗钱的虚拟币到底是怎么发行上线的？为什么还能制造出暴涨的假象、引人上钩呢？

某区块链技术安全工程师冯昌盛：预计三分钟之内可以发行这个币。

冯昌盛：首先我们从主网随便复制一个代币代码，然后放到线上的IDE（编程软件）上，只要输入代币的名称，我们起一个名字叫ABCD。然后只需要点击“部署”，在交易所上架，设定一个初始价格1枚以太坊可以换10枚ABCD。现在已经成功了，那我们普通用户就可以在交易页面，直接找到这枚代币。

复制一段代码，改一个名字，设定一个价格，只需要几个简单的步骤，一枚虚拟币就成功上线交易平台进行买卖了。然而更让人意想不到的是，这种毫无价值的虚拟币不仅可以随意上线，还能肆意操控价格。

冯昌盛：我们代币发行，基本上所有的代币都在我们手上，就可以用我们手上巨量的代币去操控市场价格，相当于左手倒右手，把价格给拉高。

在这位技术人员的演示中，当他自己买进这种ABCD虚拟币的时候，交易平台的K线图立刻出现大幅上涨。反之自己卖出的时候，K线图又立即出现了下降。

左边是操作，右边是K线反馈

冯昌盛：在一个项目方的宣传洗脑之下，普通用户一看到价格升高，普通用户就会盲目跟风购买这个代币。当大量用户涌入购买这个代币的时候，项目方就会使用他持有的代币去砸盘。发布这种币是没有任何门槛的，去中心化的交易平台，任何用户都可以在这儿进行交易、发布代币，也不会核实代码有没有问题。

2020年虚拟币安全事件增长240%

国家计算机网络应急技术处理协调中心的统计数据显示，随着上半年虚拟币交易量的活跃，各类风险隐患也是层出不穷。

国家计算机网络应急技术处理协调中心吴震：很多不法分子利用虚拟数字货币进行洗钱或者非法资金转移，可能会对国家的经济秩序造成扰乱。甚至还有一些不法分子打着区块链的旗号进行诈骗。同时，现在我们收录了400多个漏洞，有漏洞就会被不法分子利用窃取相关的数字资产。

国家区块链漏洞库发布的报告指出，据不完全统计，2020年度区块链领域发生的安全事件数量达555起，相比于2019年安全事件增长了近240%；主要包括诈骗/钓鱼事件204起、勒索软件事件143起、交易平台安全事件31起。所造成的经济损失高达179亿美元，环比2019年增长了130%。

自新冠疫情以来，境外虚拟货币交易平台上的各类非法金融活动更加活跃。除了李女士遭遇的涉嫌非法发行证券的代币发行融资外，比较火热的还有虚拟货币远期合约交易，有数十倍到上百倍的杠杆率，本质上不过是“赌多空”的 游戏 。这类非法期货活动给参与群众带来巨额财产损失，时常有投机者爆仓的新闻报道，但虚拟货币交易平台在背后赚得盆满钵满。

别让炒作之风干扰区块链 健康 发展

炒币投机不等于高大上的理财，而是高风险的赌博，有的甚至是违反法律的行为。

对普通投资者而言，面对境外交易平台和庄家掌握信息、资金、筹码，拥有巨大的信息优势，最终难逃“被割韭菜”的命运，还需多一分冷思考。而对区块链的从业者而言，区块链技术创新也不等于炒作虚拟货币，如何让区块链技术脱虚向实，让“区块链+”在各个应用场景落地生根，为中国经济转型升级、实现高质量发展注入新动能，这才是技术创新的应有之义。

3. SlowMist(慢雾)：黑客利用PancakeSwap漏洞盗取Four.meme流动性资金解读

想紧跟市场动态，第一时间掌握最新行情吗？ http://www1.itou8.com/ba/

区块链安全公司SlowMist(慢雾)今(3/18)发出安全警报，揭露了一起针对Four.meme项目的攻击事件。
黑客透过PancakeSwap智能合约机制中的漏洞，成功绕过交易限制，窃取流动性资金(目前所知约13万美金)。
这也让近几日才刚开始引发热度的币安Meme布局，蒙上一层阴影。
攻击手法解析：预先购买未上市代币，绕过交易限制
根据SlowMist的分析，攻击者在Four.meme平台中多个新兴代币正式发行前(内盘阶段)，透过0x7f79f6df函数购买了一小部分新兴代币。
这一步骤让黑客能够在代币尚未正式上线PancakeSwap之前，掌握一定数量的代币，为后续攻击奠定基础。
关键漏洞：在未创建的交易对地址存入代币
攻击者利用0x7f79f6df函数，将新兴代币发送至一个尚未创建的PancakeSwap交易对地址。
由于该交易对尚不存在，这让黑客可以在无需额外转移新兴代币的情况下，直接创建交易对并添加流动性。
这一操作成功绕过了MODE_TRANSFER_RESTRICTED(转帐受限模式)，该模式原本应该在代币正式启动前限制交易。
透过这种方式，攻击者得以避开Four.meme项目的预防措施。
窃取流动性：利用价格操纵来获利
完成交易对的建立后，攻击者在一个异常价格上添加流动性，使其能够在价格不符合市场预期的情况下获取更多资金。
骇客成功窃取了池内的流动性资金，导致投资者蒙受损失。
安全警示：智能合约开发需加强防范机制
这起事件再次凸显了智能合约漏洞的风险，特别是去中心化交易所(DEX)在流动性池及交易对创建机制上的安全性问题。
专家建议，开发团队应该采取以下措施来降低风险：
审查合约函数：确保特殊函数(如0x7f79f6df)不会被恶意利用。
增强流动性控制机制：限制交易对的创建条件，避免代币被恶意提前注入。
实施交易监控：利用AI及即时监测工具，识别异常交易行为。
加密市场风险与机遇并存，投资者应该时刻关注项目安全性，避免遭受不必要的损失。
以上就是SlowMist(慢雾)：黑客利用PancakeSwap漏洞盗取Four.meme流动性资金解读的详细内容，更多关于在未创建的交易对地址存入代币的资料请关注区块链网络其它相关文章！

声明：文章内容不代表本站观点及立场，不构成本平台任何投资建议。本文内容仅供参考，风险自担！
点击官网不仅提供实时更新的最新行情，让你随时把握市场脉搏；还有专业的网络知识推荐 http://www1.itou8.com/ba/

4. SAFEIS安全报告：加密史上十大被盗事件梳理及应对策略

2008年全球金融危机因为中心化世界的种种弊端而爆发并进而席卷全球，为了消除这些弊端，中本聪创立了比特币网络，区块链也因此诞生。

为了提高整个网络以及交易的安全性，区块链采用分布式节点和密码学，且所有链上的记录是公开透明、不可篡改的。最近几年，区块链获得长远发展，形成了庞大的加密生态。

然而，区块链自问世以来，加密货币骗局频发并有愈演愈烈之势，加密货币也无法为用户的资金提供足够的安全性。此外，加密货币可以匿名转移，从而导致加密行业的重大攻击盗窃事件频发。

下文将梳理剖析加密史上十大加密货币盗窃事件，以及防范加密资产被盗的六大实用策略。

1.Mt. Gox 被盗事件

Mt. Gox 被盗事件仍然是 历史 上最大的加密货币盗窃案，在 2011 年至 2014 年期间，有超过 85 万比特币被盗。

Mt. Gox 声称导致损失的主要原因是源于比特币网络中的一个潜在漏洞——交易延展性，交易延展性是通过改变用于产生交易的数字签名来改变交易的唯一标识符的过程。

2011 年 9 月，MtGox 的账户私钥就已泄露，然而该公司并没有使用任何审计技术来发现漏洞并预防安全事件的发生。此外，由于 MtGox 定期重复使用已泄露私钥的比特币地址，导致被盗资金损失不断扩大，到 2013 年中，该交易所已被黑客盗取63万枚比特币。

许多交易所会同时使用冷钱包和热钱包来进行资产的存储和转移，一旦交易所的服务器被黑，黑客便可以盗取热钱包里面的加密资产。

2.Linode被盗事件

加密网络资产托管公司Linode主要业务就是托管比特币交易所和巨鲸的加密资产，不幸的是，这些被托管的加密资产储存在热钱包中，更为不幸的是，Linode 于 2011 年 6 月遭到黑客攻击。

这导致超过5万枚比特币被盗，Linode的客户损失惨重，其中，Bitcoinia、Bitcoin.cx以及Gavin Andresen分别损失43000枚、3000枚和5000枚比特币。

3.BitFloor被盗事件

2012 年 5 月，黑客攻击 BitFloor 并盗窃了24000枚比特币，这一切源于钱包密钥备份未加密，才使攻击者轻而易举获得了钱包密钥，并进而盗取了巨额加密资产。

被盗事件发生后，BitFloor 的创建者 Roman Shtylman 决定关闭交易所。

4.Bitfinex被盗事件

使用多重签名账户并不能完全杜绝安全事件的发生，Bitfinex接近12万枚巨额比特币资产被盗事件就证明了这一点。

2022年6月份，2000万枚OP代币就是以为不恰当使用多重签名账户而被盗。

5.Coincheck被盗事件

总部位于日本的 Coincheck 在 2018 年 1 月被盗价值 5.3 亿美元的 NEM ( XEM ) 代币。

Coincheck事后透露，由于当时的人员疏忽，黑客能够轻易访问他们的系统，且由于资金保存在热钱包中并且安全措施不足，黑客能够成功盗取巨额加密资产。

6.KuCoin被盗事件

KuCoin 于 2020 年 9 月宣布，黑客盗取了大量的以太坊 ( ETH)、BTC、莱特币 ( LTC )、Ripple ( XRP )、Stellar Lumens ( XLM )、Tron ( TRX ) 和 USDT等加密资产。

朝鲜黑客组织 Lazarus Group 被指控为KuCoin被盗事件的始作俑者，这次被盗事件造成了2.75 亿美元的资金损失。幸运的是，该交易所收回了约2.7亿美元的被盗资产。

7.Poly Network被盗事件

Poly Network被盗事件是有史以来最严重的加密货币盗窃案之一，2021 年 8 月，一位被称为“白帽先生”的黑客利用了 DeFi 平台 Poly Network 网络中的一个漏洞，成功窃取了Poly Network上价值约 6 亿美元的加密资产。

Poly Network被盗事件蹊跷的是，自被盗事件发生后，“白帽先生”不仅与Poly Network官方保持公开对话，而且还于一周后归还了所有被盗的加密资产。“白帽先生”因此获得50万美元的奖金，并获得了成为 Poly Network 高级安全官的工作机会。

8.Cream Finance被盗事件

2021 年 10 月，Cream Finance发生安全事件，被黑客盗取价值1.3 亿美元的加密资产。这是 Cream Finance 今年发生的第三起加密货币盗取事件，黑客在 2021 年 2 月盗取了 3700 万美元的加密资产，在 2021年 8 月盗取了 1900 万美元的加密资产。

本次被盗事件是通过闪电贷攻击的方式完成的，攻击者使用 MakerDAO 的 DAI 生成大量 yUSD 代币，同时还利用 yUSD 价格预言机来完成闪电贷攻击。

9.BadgerDAO被盗事件

2021 年 12 月，一名黑客成功从DeFi 项目 BadgerDAO 上的多个加密货币钱包中窃取资产。

该事件与通过Cloudflare将恶意脚本注入网站用户界面时的网络钓鱼有关。 黑客利用应用程序编程接口 (API) 密钥窃取了 1.3 亿美元的资金。API 密钥是在 Badger 工程师不知情或未经许可的情况下创建的，用于定期将恶意代码注入其一小部分客户端。

然而，由于黑客未能及时从Badger提取资金，因此大约 900 万美元加密资产得以追回。

10.Bitmart被盗事件

2021 年 12 月，Bitmart 的热钱包遭到黑客攻击，约 2 亿美元加密资产被盗。研究发现，约1 亿美元的加密资产是通过以太坊网络盗取转移的，另外接近1亿美元是通过币安智能链网络盗取转移的。

此次被盗事件涉及20多种代币，包括比特币等主流币，和相当数量的山寨币等。

保护加密资产的最佳方法是重视钱包的加密保护和安全的私钥存放方式，以及对市场上的项目进行深入的研究和辨识，避免踏入攻击者的陷阱。

由于区块链的不可篡改和不可逆性，一旦钱包私钥泄露，加密资产被盗便不可避免并无法追回。

防范加密资产被盗的六大实用策略：

1.使用冷钱包

与热钱包不同，冷钱包不连接互联网，因此不会受到网络攻击。私钥存储在冷钱包中可有有效保护加密资产。

2.使用安全网络

在交易或进行加密交易时，仅使用安全的网络，避免使用公共 Wi-Fi 网络。

3. 资金分散到多个钱包中

鸡蛋不要放到同一个篮子中，这句话在金融领域和加密领域都十分受用。

将加密资产分发到不同的多个钱包中，这样可以在遭受攻击时，将损失降到最低。

4. 提高个人设备安全性

确保个人设备安装了最新的安全软件，以防御新发现的漏洞和网络攻击，并且开启防火墙来提高设备的安全性，以避免黑客通过设备系统安全漏洞来进行攻击。

5.设置强密码并定期更改

在谈论安全性时，我们不能低估强密码的重要性。很多人在多个设备、应用程序社交媒体帐户和加密钱包上使用相同的密码，这大幅增加了加密资产被盗的几率。

防止被盗需要钱包账户建立一个安全等级较高的强密码，这个强密码需要具有独特性，并养成定期更改的习惯。此外，选择双重身份验证 (2FA) 或多重身份验证 (MFA) 可以提高安全性。

6. 谨防钓鱼攻击

通过恶意广告和电子邮件进行的网络钓鱼诈骗在加密货币世界中十分猖獗。在进行加密交易时要格外小心，避免点击任何可疑和未知链接。

应当始终检查核实有关加密投资的相关信息和网站的URL，尤其是这些信息极具诱惑力且不合常理时，比如，项目方官方通过Didcord等渠道私聊信息，当然，项目方Didcord被攻击的安全事件的频繁发生，这时的恶意链接可能是在公共频道中而不是私聊界面，这种情况下，多渠道检查核实有关加密投资相关信息的真实性就显得格外重要了！

SAFEIS是国际知名的创新型区块链生态安全服务平台，基于 数据、 智能、网络安全、图计算等多种核心技术打造，具有完备的数据处理和精准追溯能 ，服务对象涵盖全球诸多知名公司和项目。

“让区块链更安全”是一个光荣使命，我们将践行光荣使命、续航崭新征程。

5. 360发现了区块链哪些史诗级漏洞

5月29日消息，近日，360公司Vulcan（伏尔甘）团队发现了区块链平台EOS的一系列高危安全漏洞。经验证，其中部分漏洞可以在EOS节点上远程执行任意代码，即可以通过远程攻击，直接控制和接管EOS上运行的所有节点。

区块链网络安全隐患亟待关注

EOS是被称为“区块链3.0”的新型区块链平台，目前其代币市值高达690亿人民币，在全球市值排名第五。

在区块链网络和数字货币体系中，节点、钱包、矿池、交易所、智能合约等都存在很多的攻击面，360安全团队此前已经发现和揭露了多个针对数字货币节点、钱包、矿池和智能合约的严重安全漏洞。

此次360安全团队在EOS平台的智能合约虚拟机中发现的一系列新型安全漏洞，是一系列前所未有的安全风险，此前尚未有安全研究人员发现这类问题。这类型的安全问题不仅仅影响EOS，也可能影响其他类型的区块链平台与虚拟货币应用。

360表示，希望通过这一漏洞的发现和披露，引起区块链业界和安全同行在这类问题的安全性上更多的重视和关注，共同增强区块链网络的安全。

内容来源 澎湃新闻

6. “黎曼猜想”被证实，触动了区块链人士的哪根神经

如果要搜索2018年最具热度的词汇，“区块链”一定会榜上有名。拜大名鼎鼎的比特币所赐，区块链技术及其相关行业已赫然成为了一个新的投资风口，BAT等互联网大佬先后发布了各自区块链产业布局白皮书，摩根大通、高盛集团、纳斯达克等金融巨头也都表达了对区块链技术的热衷，各种各样的区块链项目纷至沓来，几已令人目不暇接。

然而前些日子，一则“黎曼猜想”被证实的报道刷爆了媒体，英国著名数学家迈克尔.阿蒂亚宣称已经用一种“简单”而“全新”的方法证明了黎曼猜想，并且在2018年度的海德堡获奖者论坛上宣讲了他的相关证明。这位睿智的爵士大爷在宣讲中给出了一个“黎曼猜想”大的证明方向，预计未来的几周甚至几个月的时间里，全球诸多数学家将在这个方向上努力证明，以确认阿蒂亚的方案是否可行。消息甫出，可谓在区块链领域引起了轩然大波。甚至有业内人士指出：“一旦黎曼猜想被证实，将影响区块链的生死存亡。”

一个是已经难住世人159年的“世界七大数学难题”之一，一个是基于分布式数据存储等技术的新投资风口，要想知道前者究竟如何操刀后者的命运，有必要先来看看这个令数代数学天才绞尽脑汁却魂牵梦绕的“黎曼猜想”是什么。

好莱坞经典影片《美丽心灵》中的主人公原型、诺贝尔经济学奖约翰·纳什在二十世纪五十年代中后期就曾研究过黎曼猜想，但在那之后不久就不幸罹患精神分裂症。不少人都认为研究黎曼猜想的痛苦过程是纳什患病的主要诱因，而并不是像普遍说法中主要由于参与军方工作所带来的巨大心理压力所致。由此可见“黎曼猜想“那摄人心魄的魔力。

“黎曼猜想”的文字论述说明晦涩难懂，其实通俗点儿说，就是黎曼认为素数的分布并不是杂乱无章无迹可寻，而是其分布的奥秘完全蕴藏在一个特殊的函数之中——尤其是，使那个函数取值为零的一系列特殊的点对素数分布的细致规律有着决定性的影响。若这一猜想被证实，一些基于此的加密算法势必将形同虚设。

那么区块链技术真的就会因此被无情宰割吗？

越来越多的人已经知道，区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术相融合的一种新型应用模式。其作为比特币的底层技术，是一串使用密码学方法相关联产生的数据块，每一个数据块中包含了一次比特币网络交易的信息，用于验证其信息的有效性并生成下一个区块。不独是比特币，现今区块链项目所发行的Token（通证），也都是基于此种原理。比特币以及区块链通证被称为加密货币，其安全性和加密性也正是体现于此。

一个基于加密算法，一个揭示加密规律，如此看来，区块链技术确要被“黎曼猜想”所摧垮了——实际上并不如此！

区块链技术的加密算法，是基于椭圆曲线函数上离散对数问题的非对称算法和哈希算法，与“黎曼猜想”假设的素数分布函数并无关联，好比燃油车和电动车，使用的是两种不同的动力来源。所谓的“黎曼猜想被证实将影响区块链生死存亡”的说法，不过是区块链人士脆弱神经所导演的一场乌龙罢了。

不过由此也可看出，区块链这一新兴行业是脆弱到了何等地步，一点外部的风吹草动就能引起行业人士的恐慌和不安，甚至于风声鹤唳、草木皆兵。历史上几次加密货币被盗事件的发生，都使市场行情得到了大规模的下跌，实际上被盗事件并不是区块链技术本身存在安全漏洞，而是由于一些项目方的系统和交易平台系统的安全漏洞所致。在量子技术得到突破性进展之前，比特币仍然是地球上最难破解的技术之一。但由于监管层面的施压企稳、如履薄冰，媒体圈的语焉不详、故意混淆，再加上一些区块链项目确实鱼目混珠、漏洞频出，普通大众在面对区块链技术和应用时抱以观望和质疑的态度，紧绷着那根随时都会被触动的脆弱神经，也就不难理解了。

可以想象，区块链技术在完成去中心化、实现点对点信任之前，如何使人们信任区块链技术本身，将会有很长的一段路要走。