[v_xuk]无法提币的现货拿来砸穿比特币价格,再去隔壁交易所做空比特币,这种事情的重复发生,仅仅过去了 2 个月。
黑客花了 2 个小时,将比特币砸到 7400 美元,爆掉了近 3 万张期货多单,成功收割期货和现货。
这一次,黑客攻击的主角是火币 Pro 上的 EDU Token。[/v_xuk]

transferFrom函数漏洞曝光,黑客可以随意偷币区块链安全团队 PeckShield5 月 23 日晚间发布 EDU 智能合约漏洞报告。在 EDU 智能合约中存在一个 transferFrom 函数,该函数缺少 Safemath 验证,可以让攻击者从任何一个 EDU 余额不为 0 的账号内向另外一个账号转出 EDU Token,也可以理解为可以从智能合约里偷币。


PeckShield 团队透露,黑客的攻击从 5 月 20 日开始,当天完成了 4 笔交易,第一笔交易就是利用 Allow 函数的漏洞从项目方的地址中偷走了 30 亿枚 EDU Token,随后利用三次交易将 Token 进行了转手。

黑客得手后开始往火币Pro充币黑客的 Token 得手后,开始往交易所进行充值,目前 EDU 只在火币 Pro 上进行交易。


充币完成之后,黑客从 5 月 20 日午夜开始抛售 EDU Token,从上面的 K 线可以看出,除了黑客带来的抛售之外,也引发了市场的进一步恐慌,EDU Token 的价格持续走低。
从 K 线交易量来卖出的 EDU Token 数额超过 20 亿枚以上(包括市场恐慌抛售和黑客蓄意抛售),这些不明来源的巨额交易引发市场进一步恐慌,价格持续走低,也有不少不明真相的投资者选择在价格暴跌的时候抄底,买方和卖方的博弈以卖方的持续低价抛售不断取胜,买入即套牢。
这种交易对峙的局面,持坚持续到 5 月 23 日深夜。

此时,火币 Pro 交易所一经发现合约漏洞的问题,随即暂停了 EDU/BTC 和 EDU/ETH 的交易对,因为全球范围内只有火币 Pro 可以交易 EDU Token,所以 EDU Token 的市场交易在此全面停止。
按照交易所的一贯作风,涉事账户将无法再进行提币、充币的动作,防止涉案资金外流,造成进一步的损失。
也就是说,黑客此时已经无法将偷到的币进行市场交易,之前抛售获得的比特币也将无法提现到自己的账户。
黑客的套现计划,难道就这么结束了?

黑客转攻期货交易做空按照上面提到的交易数额 20 亿枚 EDU Token,黑客的账户上已经具备了超过 1000 个以上的比特币,虽然黑客的账户无法进行提币操作,EDU 已经无法进行交易,但是其账户内的比特币依旧可以进行市场交易。

于是乎,黑客选择了和 3 月 7 日区块律动 BlockBeats 报道的一样的方式进行了本地交易所抛售比特币引发市场波动,同时跨交易所的期货做空交易。
在火币 Pro 交易所内,23 日 23 点 30 分到 24 日 1 点 30 分,共计交易了约 4300 枚比特币。
其中就包括黑客手上这 1000 枚可流动的比特币,1000 枚,足以造成明显的涨跌。
区块律动 BlockBeats(微信号 BlockBeats)也发现了黑客跨交易所做空的线索。
23 日 23 点 30 分,EDU 交易全面停止。按照之前漏洞曝光后的常见结果,Token 会随之大跌,但并不会对比特币价格产生的大的影响,但是比特币价格开始震荡。
比特币价格在 23 点 30 分开始暴跌,从 7880 跌到 7400 美元,2 小时内跌幅达到 6%。
与此同时,OKEx 的期货交易中多单开始爆仓,从 23 日 23 点 36 分开始到 24 日 1 点 49 分结束,期间一共爆掉了 28664 张多单,共计 369 枚比特币。期间 OKEx 期货市场上做空交易额达到了 1.58 亿美元。
如果黑客在此期间按照自己砸比特币价格然后做空的思路,在 OKEx 上下了空单,可以赚到 2000 万人民币离场。
再加上在火币发现问题之前黑客已经套现离场的比特币数量和其他币数量,黑客在这 4 天内通过现货和期货交易,可能已经实现了财富自由。

以太坊智能合约漏洞,谁来背锅?PeckShield 创始人蒋旭宪教授表示几乎每周都能发现以太坊智能合约中存在的漏洞。

从 BEC,到 SMT,再到 EDU 和 BAI,PeckShield 团队已经发现并命名了 10 余个以太坊智能合约的漏洞(已获得官方CVE),其中包括一些已经在交易所进行交易的 Token。
PeckShield 团队认为,因为以太坊区块链上所谓「代码即一切」的原则精神的存在,导致目前没有有效的安全防护手段来修复这些问题,而且因为 Token 交易背后牵扯着巨大的利益,是无法在多个交易所进行同步防护的。
因为中心化交易所只是对 Token 进行记账式的交易,项目团队与交易所配合之后回滚是可以一定程度上保护投资者利益的,但是如果在去中心化交易所进行交易那么投资者的损失将无法挽回,同时,利用交易所反应的时间差以及金融工具的差异,黑客也可以实现在多个交易所套利。
除了项目团队在写代码时没有认真对待、有不可推卸的责任之外,我们想问火币交易所一个问题:
你们对上 HADAX 的 Token 不做审核义务,那么对上火币 Pro 的 Token 也不尽审查义务吗?

正文到此结束

本文标题:还原EDU被黑客攻击始末:期货与现货的组合套现

本文链接:https://www.hantaosec.com/727.html

除非另有说明,本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议

声明:转载请注明文章来源及链接,不带链接禁止任何转载!访问任何网络安全相关文章,则视为默认接受网络安全文章免责声明 ,请认真阅读。

喜欢我的文章吗?
别忘了点赞或赞赏,让我知道创作的路上有你陪伴。