以太坊的又一个安全漏洞，你还相信虚拟货币交易所的安全声明吗？

另一个安全漏洞，同样与交易所有关。

今日，区块链安全团队PeckShield曝光了一个名为tradeTrap的以太坊智能合约漏洞，黑客可以利用该漏洞操纵货币价格，随意增发代币。 该漏洞影响了十多种可在交易所交易的代币。 截至发稿，涉及交易所已成功修复该漏洞。

这个名为tradeTrap的智能合约漏洞已经影响了超过700个ERC-20 Token，包括AI、SUB、NTO、TGT、FC、TBT等数十个已经在交易所交易的Token，涉及币安、火币、OKEx、 HitBTC、ZB、EtherDelta、IDEX等26家交易所。

该漏洞是今年发现的影响用户最多、涉及币种最多、涉及交易所最多的安全漏洞。 据悉，该漏洞可能被开发者有意或无意地保留在智能合约中。 如果本意是好的，不会造成任何影响，但如果被黑客滥用，很容易实现非法套利、操纵价格等安全事件。

史上影响最大的智能合约漏洞细节曝光

Block Beats 从 PeckShield 团队获悉，tradeTrap 漏洞包括多个已知安全问题：

(1) 黑客可以利用 mintToken() 函数随意增加 Token 余额 (2) 黑客可以利用 setPrices() buy() sell() 三个函数来操纵 Token 价格，进行不公平的套利行为 (3) BuyTrap SellTrap，允许买卖双方在支付成功后无法收到Token或在销售后收到收益。

在存在 tradeTrap 漏洞的智能合约中，PeckShield 发现了一个名为 mintToken() 的函数，黑客可以利用该函数向任意以太坊地址任意发行代币余额。

一般来说，该功能只能在合约所有者的控制下使用，用于合约代币的增发。 该功能主要用于Token预售阶段。 项目方可以利用该功能向私人投资者发行相应的Token。 预售结束后，应停止使用该功能。 但其实这个功能在预售结束后还是可以随意使用的。

如果项目方不公开增发计划，滥用该功能，可以向任意以太坊地址增发项目代币。 凭空发行的 Token 数量会扰乱 Token 的市场交易，给投资者带来损失。

以存在该漏洞的 Substratum 为例。 该项目在各平台的Token总量存在巨大差距，涉嫌恶意增发。

在EtherScan查询到的SUB Token合约地址中有5.92亿个Token，飞小号、Coinmarketcap等数据平台显示SUB Token发行总量为4.72亿个。 Block Rhythm BlockBeats 还发现，Substratum 白皮书中的 Token 发行也发生了数次变化。 2017年8月白皮书发行数量为6亿个Token，12月白皮书发行数量为2.26亿个。

与PeckShield团队沟通后发现，Substratum确实调用了mintToken()函数，并增发了5.8亿个Token，说明该接口的漏洞确实有效可用。 目前，该团队已在Medium上发布声明称，该功能仅在测试网使用，交易完成后暂未发布。

价格操纵存在另一个安全问题。 在出现此类问题的智能合约中，存在三个函数：setPrice()、buy()、sell()。 这些功能只能由智能合约所有者控制以太坊漏洞，可以指定Token的买卖价格。 公众可以直接使用 buy() 和 sell() 函数买卖代币。

仔细阅读合约代码会发现，本合约中Token的价格由合约的所有者控制，但在市场上流通的Token的买卖价格实际上应该由市场决定。 这个漏洞可以让黑客利用 操纵价格套利成为可能。

在受此漏洞影响的智能合约中，用户可以通过智能合约的buyPrice和sellPrice与项目方进行交易。 例如，EOS 众筹允许用户与合约进行交易。 同时，EOS 可以进行交易所交易。 但是，智能合约中buyPrice和sellPrice的值无法随行情及时更新，更新过程中产生的合约价格与市场价格的差距形成了套利空间。

在某些情况下，不法交易所可以利用这个漏洞低价买入Token存入交易所，然后在市场高价卖出，形成交易所自身的套利行为。 这实际上是有违商业道德行为的。

目前，该漏洞影响的代币有INT、SUB、SWFTC等，这些代币在OKEx、Huobi、HitBTC、IDEX、EtherDelta等交易所交易。

交易所已修复tradeTrap漏洞，用户可安全交易

由于此前360在EOS漏洞曝光后的公关行为对市场造成巨大影响，导致大量投资者因信息沟通不畅而损失资产，因此PeckShield团队决定不对外公开该漏洞。一经发现，而是在上报前与交易所沟通，确认并修复漏洞细节，确保漏洞上报流程的合规性。

创始人蒋旭贤告诉BlockBeats，“我们不希望漏洞一开始就被曝光，对市场造成负面影响。毕竟tradeTrap漏洞涉及多个正在交易所交易的Token，随机曝光可能给市场带来恐慌，给广大投资者造成了不必要的损失。

目前Binance, Huobi, OKEx, OKCoinKR, CoinEgg, Kucoin, Allcoin, HitBTC, Bitbns, ZB, OTCBTC, CoinBene, COSS, Etherdelta, ForkDelta, IDEX, YEX, Tidex, Radar Relay, Yobit, WazirX, CoinExchange, CoinSpot, Bluetrade, CEX、LiveCoin等26家交易所均已确认该漏洞。 币安等交易所已与SUB项目确认，该漏洞无重大影响，用户可放心交易。

但我们不禁要问以下问题：

为什么你总是等到安全团队在那里修复漏洞？

自4月份安全团队开始曝光区块链安全漏洞以来，安全团队是最先报告漏洞的，然后是涉及的交易所和项目跟进，总是落后一步。

区块跳动BlockBeats在安全漏洞发生后多次质疑相关各方，尤其是交易所，是否做好了审计工作？ 所谓的上市审核只是一个正式的流程吗？

最近很多交易所甚至随意上币，根本不经过投票上币的过程。 OKEx上架了一个没有任何真实信息的BEC，火币上架了宇洪的纯概念社区币XMX，币安上线了QuarkChain，涉嫌误导消费者。 投资者看到的是媒体铺天盖地的宣传和潜在的投资机会以太坊漏洞，而BlockBeats看到的是相关利益和内幕交易。 这种“连接”行为不仅不安全，而且为“区块链安全事件”埋下伏笔。

以上面提到的set/buy/sellPrice漏洞为例，交易所完全有机会利用这个合约漏洞低价买入代币，然后在行情高位卖出，实现套利，或者利用低成本代币操纵货币价格，以获取利润。 但是为了避免这种事情被曝光，交易所的充值地址会定期更换，导致Token流到交易所后就失去了踪迹。

对于调查人员来说，交易所是目前整个区块链生态系统中最大的黑洞。 一切去中心化、透明化的手段，在经过中心化交易所后，都将变得无法追踪，区块链本身也就失去了意义。

交易所目前处理安全问题的方式是遇到一个就处理一个。 不会对日后可能出现的安全问题采取任何预防措施，出现问题时不会及时通知用户止损。 令牌，也没有任何有效的补救措施。 比如最近出现的EDU合约漏洞，火币网的做法只是应项目方要求修复漏洞后，才重新上线币种交易。 受损的投资者只能眼睁睁地看着自己的资产余额下降。

中心化交易所应当承担因安全问题给投资者造成的经济损失。 虚拟货币虽然是高风险的投资项目，但承担上币和交易安全审核的是交易所。 中心化是交易安全和资金安全的保障。 交易所义不容辞的责任。

虽然 BlockBeats 对过度宣传的陈卫星不感兴趣，但他还是希望自己的“透明计划”能够得到有效推进，是时候管理交易所了。