当前位置:首页 > 区块链快讯 > 还原EDU被黑客攻击始末:期货与现货的组合套现

还原EDU被黑客攻击始末:期货与现货的组合套现

admin4个月前 (08-19)区块链快讯192
黑客攻击了 EDU 智能合约取得 30 亿 Token,持续交易了4天获得巨额利润。

无法提币的现货拿来砸穿比特币价格,再去隔壁交易所做空比特币,这种事情的重复发生,仅仅过去了 2 个月。

黑客花了 2 个小时,将比特币砸到 7400 美元,爆掉了近 3 万张期货多单,成功收割期货和现货。

这一次,黑客攻击的主角是火币 Pro 上的 EDU TOKen。

transferFrom函数漏洞曝光,黑客可以随意偷币

区块链安全团队 PeckShield5 月 23 日晚间发布 EDU 智能合约漏洞报告。在 EDU 智能合约中存在一个 transferFrom 函数,该函数缺少 Safemath 验证,可以让攻击者从任何一个 EDU 余额不为 0 的账号内向另外一个账号转出 EDU Token,也可以理解为可以从智能合约里偷币。

PeckShield 团队向区块律动 BlockBeats(微信号 BlockBeats)透露,黑客的攻击从 5 月 20 日开始,当天完成了 4 笔交易,第一笔交易就是利用 Allow 函数的漏洞从项目方的地址中偷走了 30 亿枚 EDU Token,随后利用三次交易将 Token 进行了转手。

黑客得手后开始往火币Pro充币

黑客的 Token 得手后,开始往交易所进行充值,目前 EDU 只在火币 Pro 上进行交易。

充币完成之后,黑客从 5 月 20 日午夜开始抛售 EDU Token,从上面的 K 线可以看出,除了黑客带来的抛售之外,也引发了市场的进一步恐慌,EDU Token 的价格持续走低。

从 K 线交易量来卖出的 EDU Token 数额超过 20 亿枚以上(包括市场恐慌抛售和黑客蓄意抛售),这些不明来源的巨额交易引发市场进一步恐慌,价格持续走低,也有不少不明真相的投资者选择在价格暴跌的时候抄底,买方和卖方的博弈以卖方的持续低价抛售不断取胜,买入即套牢。

这种交易对峙的局面,持坚持续到 5 月 23 日深夜。

此时,火币 Pro 交易所一经发现合约漏洞的问题,随即暂停了 EDU/BTC 和 EDU/ETH 的交易对,因为全球范围内只有火币 Pro 可以交易 EDU Token,所以 EDU Token 的市场交易在此全面停止。

按照交易所的一贯作风,涉事账户将无法再进行提币、充币的动作,防止涉案资金外流,造成进一步的损失。

也就是说,黑客此时已经无法将偷到的币进行市场交易,之前抛售获得的比特币也将无法提现到自己的账户。

黑客的套现计划,难道就这么结束了?

是否感觉剧情有点熟悉,和2个月前3.7事件一样,同样的剧情再次上演。

黑客转攻期货交易做空

按照上面提到的交易数额 20 亿枚 EDU Token,黑客的账户上已经具备了超过 1000 个以上的比特币,虽然黑客的账户无法进行提币操作,EDU 已经无法进行交易,但是其账户内的比特币依旧可以进行市场交易。

于是乎,黑客选择了和 3 月 7 日区块律动 BlockBeats 报道的一样的方式进行了本地交易所抛售比特币引发市场波动,同时跨交易所的期货做空交易。

在火币 Pro 交易所内,23 日 23 点 30 分到 24 日 1 点 30 分,共计交易了约 4300 枚比特币。

其中就包括黑客手上这 1000 枚可流动的比特币,1000 枚,足以造成明显的涨跌。

区块律动 BlockBeats(微信号 BlockBeats)也发现了黑客跨交易所做空的线索。

23 日 23 点 30 分,EDU 交易全面停止。按照之前漏洞曝光后的常见结果,Token 会随之大跌,但并不会对比特币价格产生的大的影响,但是比特币价格开始震荡。

比特币价格在 23 点 30 分开始暴跌,从 7880 跌到 7400 美元,2 小时内跌幅达到 6%。

与此同时,okex 的期货交易中多单开始爆仓,从 23 日 23 点 36 分开始到 24 日 1 点 49 分结束,期间一共爆掉了 28664 张多单,共计 369 枚比特币。期间 OKEx 期货市场上做空交易额达到了 1.58 亿美元。

如果黑客在此期间按照自己砸比特币价格然后做空的思路,在 OKEx 上下了空单,可以赚到 2000 万人民币离场。

再加上在火币发现问题之前黑客已经套现离场的比特币数量和其他币数量,黑客在这 4 天内通过现货和期货交易,可能已经实现了财富自由。

以太坊智能合约漏洞,谁来背锅?

区块律动 BlockBeats(微信号 BlockBeats)在跟 PeckShield 团队沟通的时候,PeckShield 创始人蒋旭宪教授表示几乎每周都能发现以太坊智能合约中存在的漏洞。

从 BEC,到 SMT,再到 EDU 和 BAI,PeckShield 团队已经发现并命名了 10 余个以太坊智能合约的漏洞(已获得官方CVE),其中包括一些已经在交易所进行交易的 Token。

PeckShield 团队认为,因为以太坊区块链上所谓「代码即一切」的原则精神的存在,导致目前没有有效的安全防护手段来修复这些问题,而且因为 Token 交易背后牵扯着巨大的利益,是无法在多个交易所进行同步防护的。

因为中心化交易所只是对 Token 进行记账式的交易,项目团队与交易所配合之后回滚是可以一定程度上保护投资者利益的,但是如果在去中心化交易所进行交易那么投资者的损失将无法挽回,同时,利用交易所反应的时间差以及金融工具的差异,黑客也可以实现在多个交易所套利。

除了项目团队在写代码时没有认真对待、有不可推卸的责任之外,我们想问火币交易所一个问题:

你们对上 HADAX 的 Token 不做审核义务,那么对上火币 Pro 的 Token 也不尽审查义务吗?(本文转载自区块律动 BlockBeats)

相关文章

链闻周末荐读|理解 YFI 创造初心,全览 CeFi 单币理财

链闻编辑时间 《代币价格超越比特币的 Yearn Finance 初心是什么?创始人 Andre Cronje 如是说》 理解 Andre Cronje 创造 Yearn 背后的逻辑和投资哲学。 阅读全文 《注意,Uniswap 被...

5 分钟了解 Aave 生态中首款基于借贷资产 aToken 的 NFT 收藏品

NFT 的另一种用途,由 DeFi 资产质押生成的收藏品 Aavegotchi 是什么? 撰文:LeftOfCenter 非同质代币 NFT 在艺术品行业的广泛应用你或许早有耳闻,但你可曾设想过有这么一种 NFT 收藏品,其既...

简析 DeFi 资产合成平台 Synthetix 债务池机制与代币模型

独特于所有 DeFi 项目的债仓概念,Synthetix 魅力如此之大的原因在于它的债务池机制。 原文标题:《Synthetix—DeFi 对赌平台》 撰文:林明,FirstPool 联合创始人 Synthetix 是资产合成...

IBM重新构想区块链物联网设备的工作量证明

IBM正在申请一项方法专利,该方法确保连接设备的网络可以安全执行基于区块链的智能合约。 正如该技术巨头在周四发布的专利申请中所解释的那样,“一种示例操作方法可能包括通过设备确定工作量证明(PoW),并在确定工作量证明时使用预定义的一系...

高校开设区块链课程师资普遍不足 对外经济贸易大学提出新方案

近日,对外经济贸易大学与慧科集团达成协议,将把该集团的“区块链+”学程教育解决方案嵌入共建的大数据分析与应用、“互联网+”与战略决策专业体系中。这一举措将为未来区块链专业建设以及更大范围的人才培养体系建设奠定基础,并推动区块链技术的普及应用...

十大场景共探区块链落地应用,亿欧GIIS 2018开年高端论坛成功举办

区块链技术将改变我们的“社会治理方式、公司组织形式、商务合作方式”。在未来的智慧社会,区块链、人工智能、大数据、三大技术将深刻颠覆着人们的生活,其中区块链的江湖地位便是作为整个结构的生产关系。 2018开年,以区块链、分布式技术为底层技术...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。