仅使用3行代码就窃取高达4000万元 这年头有文化的黑客真是太可怕了

最近部分币圈的吃瓜群众们或许已经听说渡鸦币安全漏洞问题,攻击者使用漏洞成功窃取高达 4000 万元人民币。

渡鸦币 (Ravencoin,RVN) 是比较典型的代币(山寨币),使用KAWPOW挖掘算法略微小众但也倒是吸引部分矿工。

该币种发行总量为 210亿枚,按其社区说法该币种基于比特币代码分叉,但改进后支持在区块链上创建发布令牌。

渡鸦币和其他代币一样在大量主流交易所上架交易,不过目前该币种因为不太严重的安全漏洞导致出现巨额损失。

仅使用3行代码就窃取高达4000万元 这年头有文化的黑客真是太可怕了

事情还要从GitHub免费修漏洞说起:

渡鸦币和其他代币一样相关代码都是开源并托管在 GitHub 上的,正常情况下来说社区可以审查代码并参与改进。

2020年1月16日,有个名为 @WindowsCryptoDev的账号向渡鸦币项目源代码提交看起来是要修复某个漏洞的。

在 GitHub 上每天有无数开发者检查各种项目添加各种代码,当然也有热心开发者帮助其他项目进行调整和优化。

实际被提交的代码也仅仅只有三行而已,至少从表明上看这些代码人畜无害,所以项目核心开发者审查通过合并。

代码合并后并没有发生什么意外的事情,这三行代码就像其他代码那样安安静静的躺在库里被分发到整个区块上。

黑客提交的代码截图:

仅使用3行代码就窃取高达4000万元 这年头有文化的黑客真是太可怕了

代码合并六个月后渡鸦社区慌了:

本月初渡鸦币使用的某个服务的开发商发现代码存在异常,这个开发商经过排查确认项目代码存在逻辑上的漏洞。

然而这个逻辑漏洞是非常致命的,简单来说当时提交的代码其实也是个逻辑漏洞 , 可实现任意增加RVN出产数量。

由于当时项目核心开发者并未尽职审查代码导致这个逻辑漏洞被合并到项目中,随后黑客开始潜伏直到五月活动。

当然说没尽职审查代码也是我们的马后炮了,毕竟那几行代码如果不仔细考虑上下文的话确实很难发现存在问题。

而且黑客使用的这个账号是个新账号仅仅只有这么一次提交记录,没有任何项目也没有在其他项目里提交过代码。

到2020年5月份时,当时提交逻辑漏洞的黑客觉得差不多时机已到,随后他利用自己制造的漏洞疯狂增发RVN币

前文我们提到过渡鸦币发行总量为 210亿枚,由于漏洞黑客实际增发约3.15亿枚,而这3.15亿渡鸦币也是有效的。

图片来自V2EX网友:

仅使用3行代码就窃取高达4000万元 这年头有文化的黑客真是太可怕了

提交漏洞变成印钞机自己印钞发行赚钱:

从1月份提交漏洞到5月份开始自己发动印钞机 , 逻辑漏洞代码在被合并后这名黑客暗自隐忍并没有立即增发RVN

几个月后估计社区开发者们都已经忘记那段代码后,这名黑客才开始开动印钞机疯狂增加渡鸦币并转到交易所中。

统计显示这名黑客共增发3.15亿枚渡鸦币并将其转到交易所换成其他加密货币或法币,现在想要追查也已经没戏。

这3.15亿枚增发的渡鸦币价值约为570万美元折合人民币约3987万元 , 现在渡鸦币社区都已经放弃追回这部分币。

没有人被盗但所有投资者都浮亏:

在这起攻击事件中黑客增发的这部分渡鸦币是真的吗?尽管有人认为这种增发的币为虚假的但实际真的不能再真。

主要是这部分渡鸦币虽然并非矿工开采出来的,但这些币确实是在渡鸦币区块链上而且全部都是被区块承认的币。

这也是为什么黑客能将自己铸造的这些币直接转到交易所卖掉的原因,因为这就是真的渡鸦币所以当然可以卖掉。

有趣的是这次攻击事件并没有任何人的账户和资产被盗,然而实际上所有渡鸦币的投资者们都因为黑客而有浮亏。

毕竟渡鸦币的币值是投资者支撑起来的,所以黑客薅走这高达 4000 万元人民币的羊毛要均摊到所有投资者身上。

为什么项目官方无法销毁这些增发的渡鸦币:

针对无法追回损失问题渡鸦币官方也倒是发布了说明,就目前来说这些增发的渡鸦币已经混入整个渡鸦区块链中。

通常这种情况可以使用交易回滚的做法来应对,但此次发现的已经太迟如果回滚区块会影响大量渡鸦币投资者们。

所以现在项目官方实际上是没有任何办法能够销毁这些增发的渡鸦币,这也是项目组现在默认这些币存在的原因。

当然为保留点面子渡鸦币官方在声明中倒是表示已经与执法机构联系,但想要找到这名黑客当然也是难于上青天。

项目官方目前给出的两种解决方案:

在声明中项目官方给出两种方案都不算是解决方案,可能更多的只是安慰作用,毕竟均摊的损失是没法找回来的。

方案一是在原定的 210亿枚渡鸦币基础上增加3.15亿枚渡鸦币,也就是承认增加的渡鸦币有效反正也没其他办法。

方案二是将区块减半时间提前44天这样可以抵消这3.15亿枚渡鸦币,最终结果是代币总量仍然是210亿枚渡鸦币。

具体采用哪种方案目前还没有决定下来,不过哪种似乎对目前的局面都没太大影响,毕竟3.15亿只占总量的1.5%

本文来源 蓝点网,由 山外的鸭子哥 整理编辑,其版权均为 蓝点网 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
扫码关注蓝点网微信公众号

评论:

3 条评论,访客:3 条,站长:0 条
  1. 路人17号
    路人17号发布于: 
    Firefox 78.0 Firefox 78.0 Windows 10 64位版 Windows 10 64位版

    与执法机构联系?问题是这犯法了么?

  2. ha
    ha发布于: 
    Firefox 78.0 Firefox 78.0 Windows 10 64位版 Windows 10 64位版

    黑客可怕,“铸钱”的人更可怕,“铸钱”竟开源假手于人?匪夷所思。最可怕的,当然还是愚蠢的赝币买卖参与者。

  3. VBox
    VBox发布于: 
    Google Chrome 84.0.4147.89 Google Chrome 84.0.4147.89 Windows 10 64位版 Windows 10 64位版

    又一个虚拟货币被贬值了

发表评论