客服QQ:872490018

还原EDU被黑客攻击始末:期货与现货的组合套现

来源:区块律动BlockBeats

无法提币的现货拿来砸穿比特币价格,再去隔壁交易所做空比特币,这种事情的重复发生,仅仅过去了2个月。

黑客花了2个小时,将比特币砸到7400美元,爆掉了近3万张期货多单,成功收割期货和现货。

这一次,黑客攻击的主角是火币Pro上的 EDU Token


transferFrom函数漏洞曝光,黑客可以随意偷币

区块链安全团队PeckShield5月23日晚间发布EDU智能合约漏洞报告。在EDU智能合约中存在一个transferFrom函数,该函数缺少 Safemath验证,可以让攻击者从任何一个EDU余额不为0的账号内向另外一个账号转出EDU Token,也可以理解为可以从智能合约里偷币

还原EDU被黑客攻击始末:期货与现货的组合套现-碳链

PeckShield团队透露,黑客的攻击从5月20日开始,当天完成了4笔交易,第一笔交易就是利用Allow函数的漏洞从项目方的地址中偷走了30亿枚EDU Token,随后利用三次交易将Token进行了转手。

还原EDU被黑客攻击始末:期货与现货的组合套现-碳链


黑客得手后开始往火币Pro充币

黑客的Token得手后,开始往交易所进行充值,目前EDU只在火币 Pro上进行交易。

还原EDU被黑客攻击始末:期货与现货的组合套现-碳链

充币完成之后,黑客从5月20日午夜开始抛售EDU Token从上面的K线可以看出,除了黑客带来的抛售之外,也引发了市场的进一步恐慌,EDU Token的价格持续走低。

从K线交易量来卖出的EDU Token 数额超过20亿枚以上(包括市场恐慌抛售和黑客蓄意抛售),这些不明来源的巨额交易引发市场进一步恐慌,价格持续走低,也有不少不明真相的投资者选择在价格暴跌的时候抄底,买方和卖方的博弈以卖方的持续低价抛售不断取胜,买入即套牢

这种交易对峙的局面,持坚持续到5月23日深夜。

还原EDU被黑客攻击始末:期货与现货的组合套现-碳链

此时,火币Pro交易所一经发现合约漏洞的问题,随即暂停了 EDU/BTC 和 EDU/ETH 的交易对,因为全球范围内只有火币Pro 可以交易EDU Token,所以EDU Token的市场交易在此全面停止

按照交易所的一贯作风,涉事账户将无法再进行提币、充币的动作,防止涉案资金外流,造成进一步的损失。

也就是说,黑客此时已经无法将偷到的币进行市场交易,之前抛售获得的比特币也将无法提现到自己的账户。

黑客的套现计划,难道就这么结束了?

是否感觉剧情有点熟悉,和2个月前3.7事件一样,同样的剧情再次上演。


黑客转攻期货交易做空

按照上面提到的交易数额20亿枚EDU Token,黑客的账户上已经具备了超过1000个以上的比特币虽然黑客的账户无法进行提币操作,EDU已经无法进行交易,但是其账户内的比特币依旧可以进行市场交易。

于是乎,黑客选择了和3月7日一样的方式进行了本地交易所抛售比特币引发市场波动同时跨交易所的期货做空交易

在火币Pro交易所内,23日23点30分到24日1点30分,共计交易了约4300枚比特币

其中就包括黑客手上这1000枚可流动的比特币,1000枚,足以造成明显的涨跌。

与此同时,我们也发现了黑客跨交易所做空的线索。

23日23点30分,EDU交易全面停止。按照之前漏洞曝光后的常见结果,Token会随之大跌,但并不会对比特币价格产生的大的影响,但是比特币价格开始震荡

比特币价格在23点30分开始暴跌,从7880跌到7400美元,2小时内跌幅达到6%。

还原EDU被黑客攻击始末:期货与现货的组合套现-碳链

与此同时,OKEx的期货交易中多单开始爆仓,从23日23点36分开始到24日1点49分结束,期间一共爆掉了28664张多单,共计369枚比特币期间OKEx期货市场上做空交易额达到了1.58亿美元。

如果黑客在此期间按照自己砸比特币价格然后做空的思路,在OKEx上下了空单,可以赚到2000万人民币离场。

再加上在火币发现问题之前黑客已经套现离场的比特币数量和其他币数量,黑客在这4天内通过现货和期货交易可能已经实现了财富自由。


以太坊智能合约漏洞,谁来背锅?

在跟PeckShield团队沟通的时候,PeckShield创始人蒋旭宪教授表示几乎每周都能发现以太坊智能合约中存在的漏洞

从BEC到SMT,再到EDU和BAI,PeckShield团队已经发现并命名了10余个以太坊智能合约的漏洞(已获得官方CVE),其中包括一些已经在交易所进行交易的Token。

PeckShield团队认为,因为以太坊区块链上所谓「代码即一切」的原则精神的存在,导致目前没有有效的安全防护手段来修复这些问题,而且因为Token交易背后牵扯着巨大的利益,是无法在多个交易所进行同步防护的。

因为中心化交易所只是对Token进行记账式的交易项目团队与交易所配合之后回滚是可以一定程度上保护投资者利益的,但是如果在去中心化交易所进行交易那么投资者的损失将无法挽回,同时,利用交易所反应的时间差以及金融工具的差异,黑客也可以实现多个交易所套利

除了项目团队在写代码时没有认真对待、有不可推卸的责任之外,我们想问火币交易所一个问题:

你们对上HADAX的Token不做审核义务,那么对上火币Pro的 Token也不尽审查义务吗?


还原EDU被黑客攻击始末:期货与现货的组合套现-碳链

币圈人物志|苏玉林:卖房满仓比特币,

我从未想过以这种方式提前退休

帅初的“罗生门”漩涡

“梭哈之王”深圳传奇大空翼

“老韭菜”赵东

万八教主:不懂人性,何谈交易

经历了“冰与火”之后,ICO亟待被正名


还原EDU被黑客攻击始末:期货与现货的组合套现-碳链

合作 | 约稿 | 加入团队(实习/全职):

杨达豪(微信号:yangdh007)

*文章为作者独立观点,不代表碳链立场
本文由 陀螺财经 授权 碳链 发表,并经碳链编辑。转载此文章须经作者同意,并请附上出处(碳链)及本页链接。原文链接http://www.itanlian.com/chainnews/1479.html
发表评论
坐等沙发
相关文章
监管决定币价?不,是币价决定监管
监管决定币价?不,是币价决定监管
区块律动:区块链行业的转折点应是超级应用的诞生 | FBEC 2019专访
区块律动:区块链行业的转折点应是超级…
KuCoin 入驻慢雾区,发布「安全漏洞与威胁情报赏金计划」
KuCoin 入驻慢雾区,发布「安全漏洞与威…
比特币有没有“庄家”?
比特币有没有“庄家”?
比特小鹿创始人卢海怡:比行业点突破更重要的是标准的建立 | FBEC 2019专访
比特小鹿创始人卢海怡:比行业点突破更…
慢雾科技与 BitZ 达成安全战略合作
慢雾科技与 BitZ 达成安全战略合作
陀螺财经
tuoluocaijing 作者
我还没有学会写个人说明!
  • 文章

    487

  • 评论

    0

广告赞助

复制代码