左手倒右手,黑客利用漏洞盜竊3100萬美元加密貨幣,方式簡(jiǎn)單粗暴
虛擬貨幣具有去中心化的特點(diǎn),理論上不存在被盜的可能,但無數(shù)事實(shí)告訴我們,只要有交易,黑客有無數(shù)種方式盜竊虛擬貨幣,并不一定要破解加密貨幣。
就在近日,區(qū)塊鏈初創(chuàng)公司MonoX Finance表示,一名黑客通過用于起草“智能合約”的軟件漏洞,竊取了3100萬美元。
該公司使用一種被稱為MonoX的去中心化金融協(xié)議,交易雙方通過名為“Mono”代幣進(jìn)行交易,大體過程為:
- 檢查兌換參數(shù)是否正常
- 計(jì)算應(yīng)輸入輸出代幣的數(shù)量以及代幣兌換后的價(jià)格
- 執(zhí)行兌換操作,并將新的代幣寫入賬本
在不同代幣兌換時(shí),上述過程能正常運(yùn)行,但在同種代幣兌換時(shí),則出現(xiàn)了兩個(gè)問題,在執(zhí)行第二個(gè)步驟時(shí),沒有考慮兌換過程中,交易池代幣儲(chǔ)量的變更。最后一步?jīng)]有考慮同種代幣進(jìn)行兌換時(shí),兌出代幣的價(jià)格更新操作會(huì)覆蓋兌入代幣的更新操作。
這就導(dǎo)致黑客可以利用這一漏洞,大幅提升Mono代幣的價(jià)格。攻擊者不斷用Mono代幣,兌換Mono代幣,通過反復(fù)兌換,不斷拉升代幣價(jià)格,最后再用Mono代幣兌換其他虛擬貨幣。
經(jīng)過55次操作,Mono代幣被拉升到一個(gè)可怕的價(jià)格,致使MonoX Finance損失高達(dá)3100萬美元。
有人可能會(huì)覺得,這黑客的技術(shù)得多牛,才能發(fā)現(xiàn)協(xié)議漏洞,盜取公司巨額的財(cái)產(chǎn)。實(shí)際上這個(gè)漏洞相當(dāng)?shù)图?jí),講一個(gè)例子你就明白了。
張三和李四兩人都是賣雞蛋的,現(xiàn)在一斤雞蛋才5塊錢,他們倆都覺得價(jià)格太低,于是商量著怎么抬高雞蛋價(jià)格。
因?yàn)檫@片區(qū)只有兩人買雞蛋,張三想了一個(gè)絕妙的方法。首先,李四以每斤7塊錢的價(jià)格,從張三手中買走一斤雞蛋,張三再從李四手中以9塊錢一斤的價(jià)格買走一斤雞蛋,如此反復(fù),雞蛋價(jià)格被炒到100塊錢一斤。
這個(gè)例子在現(xiàn)實(shí)中根本無法成立,因?yàn)樗麄儌z在那邊倒來倒去,雞蛋的價(jià)值還是5塊錢,太貴根本沒人買,或者人們就會(huì)尋求其他替代品,比如吃鴨蛋。到頭來,張三的雞蛋還是只能以5元一斤的價(jià)格往外賣。
問題是計(jì)算機(jī)程序不是人,它只會(huì)執(zhí)行人類為它事先設(shè)定好的操作。按照設(shè)定,李四以每斤7塊錢的價(jià)格向張三買雞蛋后,計(jì)算機(jī)程序認(rèn)為張三的雞蛋都值7塊錢,而且不會(huì)買一斤少一斤,原來多少還是多少。
100塊錢一斤的雞蛋,不會(huì)有人買,但計(jì)算機(jī)程序會(huì)照單全收,就產(chǎn)生了這么一出鬧劇。
用Mono代幣買Mono代幣本來應(yīng)該被禁止。假如有一家公司對(duì)外宣布,本年公司流水高達(dá)3萬億美元,結(jié)果一調(diào)查發(fā)現(xiàn),這家公司根本就是空殼公司,之所以有這么高的流水,是通過拿1萬美元去買1萬美元,反復(fù)操作來的。
在會(huì)計(jì)行業(yè),像這種操作不具有商業(yè)實(shí)質(zhì),是不能確認(rèn)收入的。但MonoX協(xié)議卻允許這種操作……
更讓人無語的是,MonoX在今年已經(jīng)接受了三項(xiàng)安全審計(jì),均沒有發(fā)現(xiàn)這一低級(jí)漏洞。
MonoX并不是唯一的受害者,十月份,黑客利用Indexed Finance公司其重新平衡指數(shù)池方式進(jìn)行攻擊,損失約1600萬美元。區(qū)塊鏈分析公司Elliptic所謂的DeFi協(xié)議已經(jīng)損失120億美元。
因?yàn)榈讓蛹夹g(shù)不成熟,使黑客能夠輕易竊取用戶資金,而流動(dòng)性池使犯罪分子能夠清洗勒索軟件和詐騙等犯罪所得。
不僅如此,消耗大量電力資源進(jìn)行“挖礦”活動(dòng)本質(zhì)上沒有產(chǎn)生任何價(jià)值,“炒幣”更是一種風(fēng)險(xiǎn)極高的活動(dòng)。
在今年9月份,人民銀行等10部門發(fā)布了《關(guān)于進(jìn)一步防范和處置虛擬貨幣交易風(fēng)險(xiǎn)炒作風(fēng)險(xiǎn)的通知》,通知稱,近期,虛擬貨幣交易炒作活動(dòng)抬頭,擾亂經(jīng)濟(jì)金融秩序,滋生賭博、非法集資、詐騙、傳銷、洗錢等違法犯罪活動(dòng),嚴(yán)重危害人民群眾財(cái)產(chǎn)安全。
通知明確,虛擬貨幣兌換、作為中央對(duì)手方買賣虛擬貨幣等虛擬貨幣相關(guān)業(yè)務(wù)全部屬于非法金融活動(dòng),一律嚴(yán)格禁止,堅(jiān)決依法取締。
