几行平淡无奇的代码,悄无声息地薅走价值约 4000 万元人民币,黑客的手段是越来越高明晰。

神奇的是,这次安全事故发生后,代币的价钱没崩,没有单独的受害者,也没有维权,就由于黑客没偷项目方的秘钥,也没盗走用户的资产,而是采用了一种更隐藏的方式:在矿工兢兢业业挖矿的时刻,悄悄「增发」了 RVN(Ravencoin),让人以为(至少看起来)像是系统正常发生的代币。

事情的经由是这样的。

6 月 29 日早上,外洋的 CryptoScope 团队成员最先发现区块链项目 Ravencoin 并没有凭据预期运行,在每个区块正常发生 RVN 之外,还分外创建了多余的 RVN。他们很快对异常举行符号。在确认破绽后,他们联系了 Ravencoin 开发团队。

经开发团队确认,Ravencoin 确实存在破绽,随后团宣布紧要修复通告。住手这时,破绽已经让系统多发生了约 1.4%(约 3 亿枚)的 RVN 代币,这部门凭空发生的代币,数目大概是所有 RVN 矿工埋头苦干 44 天的开采量。

由于这部门 RVN 没有任何限制,等到被发现时,大部门代币已经流入了加密市场,冻结、回滚等通例操作已经无法奏效。

凭据 CryptoScope 的披露,这些被增发的代币,大部门流入了币安,少部门流入了 OKEx。或许,这个「伶俐」的黑客并没有急躁地卖出砸盘,而是有耐心地出货,一直到被发现。凭据加密钱币行情网站 Coinmarketcap 的数据,今年 6、7 月份,RVN 代币的二级市场价钱并没有发生显著下跌,甚至在 7 月 6 日后迎来了上涨。

不幸的是,在开发团队宣布补丁和新协议执行之前的几个小时,又有人行使这个破绽「增发」了约 480 万枚 RVN。凭据团队的披露和确认,至少有三个加密地址牵涉其中。

焦点开发者 Tron Black 透露,其中有一个「攻击者」留下了蛛丝马迹,开发人员掌握了信息后,希望对方将增发的 RVN 转至 RXBurnXXXXXXXXXXXXXXXXWUo9FV 地址举行销毁。据披露,被掌握信息的「盗贼」后续将增发的部门代币打回了销毁地址。最终,约莫 390 万枚 RVN 代币通过这种方式被销毁掉了。

Ravencoin 为什么会被盯上?

黑客之以是盯上 Ravencoin 的挖矿代码,而不是盗走团队的私钥,或者用户的币,实在也有缘故原由。

Ravencoin 简称 RVN,中文名是「乌鸦币」或「渡鸦币」,于 2018 年 1 月降生,无 IC0,无预挖矿,是个纯粹的「社区币」。乌鸦币在比特币源码基础上举行算法改良,优化转账环节,并增添类似以太坊的资产通证刊行功效,意在打造一个完全去中央化、社区自治的区块链服务平台

实在,区块链领域中完全社区化的项目并不算多,由于没有预挖和预留,估量除了老老实实挖矿的收入,开发团队手上也没多少币。之前加密钱币买卖平台币安的创始人赵长鹏,就曾公然赞扬乌鸦币团队:「没有 IC0,社区化项目,低调谦逊的团队,不需要上币费。」

去年 10 月,乌鸦币升级算法,更改为 X16R 的升级版 X16Rv2,目的就是为了阻止乌鸦币网络上 ASIC 矿机继续挖矿。在此之前,约莫有 83% 的算力是 ASIC 矿机,升级后,RVN 的算力很快从原来的 30T 下降到 5T 左右。

有意思的是,这个并没有宣布所有成员,基本只有 Bruce Fenton 和 Tron Black 两位开发者露脸的团队,不外,这没有影响外界对项目的估值。

此前,在接受媒体采访时,美国电商巨头 Overstock 的前 CEO Partrick Byrne 示意已将数百万美元投入了乌鸦币,并声称提供的服务比人们意识到的还要多。去年 10 月,他在推特回覆网友询问曾买入什么加密钱币时坦言,是比特币和乌鸦币。而包罗 Medici Ventures 和 tZERO 也曾示意,要在基础设施方面支持乌鸦币的开发。

没想到,通常低调的乌鸦币竟然被黑客盯上了。

黑客的方式

一位微信名为「奋斗的 M4ster」的社区成员提供了他的剖析思绪,发现这名黑客只用了 3 行代码就乐成「天生」了价值 4000 万人民币的财富。

问题出在上面这段代码,从代码表达上看,这部门与铸币有关,但这段代码只有一个 else if。

在代码语言中,else if 是「否则若是」的意思,是一种判断条件,很显然,这段代码里只判断了一个条件,没有继续判断其他条件。

于是,黑客只要发送一笔买卖,就可以凭空铸出一笔新币,即便这笔新币不在正常的 RVN 总量范围内,而是超出总量之外的数目,一笔买卖就可以凭空造成 50 万枚 RVN。

RVN 总量有 210 亿枚,几十万的新增险些就是九牛一毛,谁都发现不了。黑客笑了。

从 5 月 9 日,黑客提议第一笔攻击最先,他用了近两个月时间,总共发送了 5000 笔买卖,逐步造出了约 3 亿枚 RVN,占总量的 1.4%,总价值 4000 万人民币。

黑客的最后一次攻击发生在 6 月 29 日。那时 CryptoScope 团队正在解 bug,顺便看了一眼浏览器,突然就以为 RVN 的总量有点问题。在黑客连续攻击了 2 个月后,这一行为最终被发现了。

一样平常来说,代码上的破绽都是黑客仔细研究代码发现的,需要支出极大成本才气发现一个有价值的破绽,而 RVN 的这段代码,是黑客自己写的。

Ravencoin 作为一个开源项目,所有人都可以在 Github 上为该项目提供代码。由于开源项目的初衷就是让所有开发者齐心协力,为项目优化做孝敬,每个人都可以把自己的想法写成代码,放在 Github 上。代码会由项目方审核,决议用不用这段代码。

黑客在 1 月提交了这段代码,项目方没有发现问题,直接整合进了项目内里,这才给了黑客机遇。而黑客整整隐蔽了 4 个月,才最先攻击。

谁受到了损失

这并不是一次通俗观点的黑客攻击。一样平常的黑客攻击,是需要黑客攻击账户,从账户中盗走用户资产。以是黑客攻击中大部门损失的是用户,但这次的另类黑客攻击,损失的是谁?

用户并没有受到损失,由于资产价钱没有颠簸,项目方也险些没有损失,他们自己也无需抵偿任何人。

真正损失的是矿工。

看了项目方提供的增发解决方案,基本上都是从挖矿角度解决,好比提前产量减半、强制总量到达上限后住手挖矿等。凭据这样的逻辑,这场黑客攻击的损失方只能是矿工。矿工靠挖矿生计,这 3 亿枚 RVN 本应是矿工的奖励,现在他们拿不到了。

若是这一切都是黑客重新设计好的,那么这就是一场完善的攻击,1 月结构,5 月攻击,7 月收尾,若是不是意外被发现,整个历程可能还会连续更长时间。用户不会报警,由于没有损失,项目方不会报警,由于是自己审核问题,矿工也无法报警,他们损失的是若干年以后的奖励,而且,谁会去受理这样的报案呢?

,

平心在线

欢迎进入平心在线官网(原诚信在线、阳光在线)。平心在线官网www.px111.net开放平心在线会员登录网址、平心在线代理后台网址、平心在线APP下载、平心在线电脑客户端下载、平心在线企业邮局等业务。

Allbet声明:该文看法仅代表作者自己,与www.allbetgame.us无关。转载请注明:allbetgaming开户:高智商犯罪:价值 4000 万人民币的3行代码
发布评论

分享到:

allbet代理:“女性机器人”很好用?肤白貌美性能强,男性用户满意度高达97%
5 条回复
  1. UG环球手机版下载
    UG环球手机版下载
    (2020-07-17 00:16:51) 1#

    联博统计联博统计采用以太坊区块链高度哈希值作为统计数据,联博以太坊统计数据开源、公平、无任何作弊可能性。联博统计免费提供API接口,支持多种程序接入。这作者是天才吗

    1. 大发888体育
      大发888体育
      (2020-07-21 03:43:22)     

      广州头条网论坛全民头条网专业报道:新闻频道、体育频道、财经频道、游戏频道、科技频道、健康养生频道等资讯。息库。停不下来怎么办……

      1. hg0088
        hg0088
        (2020-08-02 03:18:17)     

        诚信在线长治新闻网(诚信在线www.9cx.net)涵盖最全面、最权威的新闻内容,诚信在线,更新不间断。网站设有置顶首页、政府工作、社会热点、传媒之声等多类新闻专题,新闻内容形式丰富多样,更有海量独家高清图片和视频资讯,带你走进长治,了解长治。长治新闻网由专业资深媒体人与政府合力打造,专业严格的新闻筛查与复检工作,只为精心呈现给本地用户最可靠、最权威的新闻,让您的阅读更有价值,是本网站运营的责任与原则。目瞪口呆啊

  2. 卡利充值
    卡利充值
    (2020-09-16 00:00:09) 2#

    皇冠体育APP是一个开放皇冠代理APP下载、皇冠会员APP下载、皇冠线路APP下载、皇冠登录APP下载的平台,皇冠体育APP上最新登录线路、新2皇冠网址更新最快,皇冠体育APP开放皇冠会员注册、皇冠代理开户等业务。来了哦

  3. 皇冠注册
    皇冠注册
    (2020-10-17 00:02:51) 3#

    乌兰察布新闻网兰察布新闻网是一家本地知名的地方性综合性新闻网站,为本地民生生活提高以及精神生活的丰富作出了杰出贡献,区内、国内、以及国外新闻板块一应俱全,内容包括经济政治文化以及各国重大军事变动,网站页面简洁大方,24小时无节假日不间断更新,更有众多精彩视频新闻、实时现场直播等你来观看!记得勤更新啊

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。