假币袭击币圈

过去的一个月里,EOS、HT 等币都出现了造假现象。而区块链安全公司的人士介绍,币圈的主流币种几乎都有假币的身影。


造假者通过智能合约,便可发行与代币名称、描述、Logo 等一模一样的假代币,交易所、DApp、个人用户均是造假者盯准的对象。

唯一的破绽是真假币的合约地址的不同,但这对于普通持币者来说,还是一个不太容易识别的门槛,假代币常常会套走受害者的真资产。

当假代币流入币圈并变得越发猖狂后,资产安全问题无疑值得重视。

成都链安科技联合创始人高子扬表示,使用知名浏览器查看链上交易并注意代币状态,能有效防范假币。

交易所、DApp 成假币输送对象

近日,EOS 公链上出现 10 亿枚假币的消息令人关注。

6 月 21 日 14 点 20 分,Beosin 成都链安发布安全预警,账户名为“larry5555555”的用户发行了 10 亿枚“EOS 假币”并分发到了数个小号。据估算,此次伪造的数字货币账面市值超 400 亿元。

发现大量的假 EOS 后,成都链安迅速提醒项目方做应急措施和预警准备,必要时找安全公司进行代码审计,避免用户资产受损。

幸运的是,截至发稿时尚未有任何区块链项目方或交易所受到此次假币事件影响。

这已经是 6 月以来的第二次假币事件,就在 EOS 假币预警出现的前一天,HT 也出现了造假事件,有用户因此遭受资产损失。

6 月 20 日,数字资产追踪平台 CoinHunter 监测到,有诈骗者通过声称可以 1:177 的比例,以 ETH 兑换“HT”,诱骗小白用户将以太坊转入诈骗者的账户中。而这个所谓的“HT”只是诈骗者私自发行的假 Token。

HT 是火币基于以太坊公链发行的通用积分,火币数据显示,以太坊和 HT 的兑换比例大约为 1:78,远低于造假者所宣称的 1:177。

以太坊和 HT 的兑换比例约为 1:78

据 CoinHunter 披露,造假者通过诱骗贪便宜的用户,成功获得的诈骗金额已累计高达 969 个 以太坊,市值超 200 万元,其中单一用户最高被骗取 885 个以太坊。

从两起假币事件可见,造假的目的直指置换真币。而据以往的案例看,造假者的目标已经不仅仅是普通的小白持币者,甚至直接盯上了一些公链,构建在公链上的 DApp 也成为了置换假币的场所。

4 月 12 日,波场 DApp Tronbank 曾遭受假币攻击,它将攻击者发行的无价值代币错误的识别为价值 85 万元的 BTT 代币,造成了巨额损失。

成都链安团队分析,该假币事件的主要原因在于 Tronbank 智能合约没有严格验证代币的唯一标识符,才让假币成功流入账户。

成都链安科技联合创始人高子扬告诉说,假币能否套现成功主要取决于交易所或项目方对代币的验证逻辑是否严密,“如果有关方验证不严就可能遭受假币欺骗。”

多数主流币遭造假

目前,“假币事件”已普遍出现在以太坊、波场、EOS 等公链上。那么,为何这些公链会成为造假者的目标?

“事实上只要是没有对发币名称进行限制的公链,都会存在假币的现象。”去中心化交易所 Newdex 的技术人员说,“假币攻击与造假原理基本相同。”

高子扬以市面上的假冒 USDT 举例,“目前几乎所有开放发币功能的公链都可以发重名代币,主要的方式是发行与目标币种同名且图标等信息相似的个人代币。”

USDT 假币名单截图

他提供了一份 USDT 假币的统计图,其中出现的 5 个假币,有 4 个直接以“USDT”命名。而实际上,USDT 是 Tether 公司推出的稳定币,发行和交易使用的是 Omni (原 Mastercoin)协议,“真正的 USDT 在 Omni 协议上其实叫 TetherUS。”

Omni 协议上的 USDT 真身

打开 EOS、以太坊波场等公链的区块游览器,如果你检索币安币、OKB 等知名项目,不难发现,同名 Token 广泛存在。

高子扬表示,假币的出现并非由于上述公链或代币本身存在漏洞,“发行同名代币本来是各大公链的合法业务场景,虽然有攻击者恶意利用了这项业务,但代币发行机制本身并没有问题。只是我们在使用代币的场景中要提高安全意识,仔细判断,避免受到欺骗而遭受损失。”

以 EOS 公链为例,由于 EOS 公链的智能合约并不对 Token 的名称进行唯一性的限制,因此任何人都可以发布名为 EOS 的代币。Newdex 团队说,辨别真假 Token 的唯一途径是判断币种合约的发行主体,也就是发行这个代币的 EOS 账户。

警惕低价诱惑 防范个人交易

相比现实世界的法币,数字货币的发行成本非常低,智能合约带来“人人都能发币”的自由,也成为动机不良者的作恶工具。掌握一些防范方式成为数字货币持有者的必要技能。

据一名交易所从业者透露,通过智能合约发行的 Token,唯一区分点就是合约地址,其他诸如代币名称、描述、接口等,均是智能合约内部的内容,没有限制。

上述人士认为,“造假成本不高,用户警觉性低,是假币得以猖狂的根本原因。针对个人用户,造假者通常会以代投、搬砖套利、量化交易、低价兑换等方式,向投资者骗取真币。”

交易所和项目方尚且可以通过技术手段辨别真假币种,那么对于小白用户来说,应该怎么样去防范这些假币?

Newdex 告诉说,刚进币圈的用户往往没有辨别真假币的能力,因此最好通过靠谱的渠道进行 OTC 转账和交易,不要选择与个人直接交易,或者在信誉不够的第三方平台上进行操作。

对于有一定交易经验的币圈用户来说,高子扬的建议是使用知名浏览器查看链上交易,并注意代币的状态,“这样就能有效防范假币。”

如果实在无法辨别真假,慢雾安全团队给出建议,可以将数字钱包内的资产充值到交易所看能否充值成功,假数字资产充值到交易所不会到账。用户也可以向代币官方人员进行求证,“不过任何挂着交易所或者钱包 Logo 头像的人员并不一定就是真实的官方人员,因此在求证时,务必找准官方渠道。”