UET,全称 Useless Ethereum Token,翻译过来就是“没用的以太坊token”?我怀疑创始人是在逗我。
哈希查了一下非小号,没有任何介绍,一片空白。只显示了一部分艾西欧的信息。
然后哈希去找了它的官网,显示页面如下:
然鹅,并不是说行情,而是说漏洞。
据哈希的了解,曾经被曝过溢出盗币漏洞的UselessEthereumToken(UET) 在交易所持续频繁交易,并且单日涨幅达9.09%。
这样的现象,让我们不得不怀疑,这是交易所故意做的局,欺骗市场上绝大多数完全不懂代码的韭菜。因为当时Etherscan就报道过,而Etherscan只有码农会光顾。
2018年5月漏洞播报文章
安全的transferFrom函数,应该对allowed[_from][msg.sender]授权额度和转账金额value进行判断。正确的做法是需要allowed[_from][msg.sender] > value。
UET误将>写作<=,导致攻击者都可以从任何人的地址中转走全部代币。
就像其名字一样,变得useless——毫无价值。
现在绝大部分的交易所都已经越来越重视合约审计,以求最大程度上保护用户财产的安全。毕竟,只有用户财产安全得到最大的全方位的保护,才能保障整个区块链世界的和谐稳定发展。
为了尽量避免悲剧接二连三的频繁发生,Armors Labs于5月中旬上线了入侵检测系统IDS内测版。针对历史经典漏洞进行形式化特征值采集分析,并对目前市值前2000名代币交易记录和200余家交易所交易数据进行监控。通过IDS AI模块学习经典漏洞攻击事件中代币和交易所交易曲线波动情况,对酝酿或发生的攻击行为产生的异常波动进行发出预警。
攻击者极有可能已经在其他交易所布局做空某热门代币,然后通过盗取UET,在HitBtc进行大笔交易兑换Eth,而后使用Eth购买目标代币,最后砸盘做空。
目前Armors Labs已经向HitBtc交易所发出紧急警报,希望其尽快下架UET交易。并且Armors Labs已经对IDS系统进行临时扩容,全力监控HitBtc交易所所有代币的交易行为,如果发现某币种有做空动态,会第一时间发出预警。
预警只是尽量减少攻击造成的损失,从源头出发,在智能合约撰写和审计环节严格把控,才能真正杜绝智能合约安全漏洞。
Armors Labs 在3月,开源了智能合约安全开发引擎armors-solidity。使用armors-solidity进行智能合约开发,可以快速开发安全无漏洞的ERC20标准合约。在此基础上,可以通过个性化定制,开发锁仓、空投、投票、众筹等功能模块。
哈希觉得这个项目还是挺赞的,大家可以多了解一下~