PDF生死12小时,被盗始末丨PDF安全问题丨猴哥致歉
1.PDF生死12小时 昨晚大概11点多,PDF空投账号里的490万代币和1.6个ETH被黑客盗走,今天说一下始末。
昨天上午,猴哥接到了PDF空投的任务,在上午就做好了准备,只等统计结果出来后,开始空投。 上午猴哥去myetherwallet.com申请了5000个ETH账号,在里面选出了一个靓号,开头数字是 0x8888 。 然后从抹茶提取了几个ETH作为矿工费,期间尝试了两款ERC20代币的群发软件,一款是一个ZIP压缩包,网上下载的。 另一款是https://tool.ethhelp.cn 群发工具。 上午就开始熟悉软件,为下午的空投做准备。 ZIP压缩包的操作页面是这样的,这是一款打包好的网页程序,输入私钥登陆后,可以进行代币的群发。这款软件是免费的,但是有个缺点,就是无法对Excel表格进行导入。 另外一款网页版的群发工具,也有缺点,首先他是收费的,其次他需要把代币转到他的账号里进行代空投,并且操作方式略有复杂。 但没有想到的是,ZIP压缩包的工具软件,存有钓鱼功能,虽然他的群发功能是真的,但是导入私钥的那一刻,私钥会被上传,黑客也知晓了空投账号的私钥。 由于ZIP压缩包版的工具无法进行Excel表格的导入,所以最终下午开始空投的时候选择了那个付费的网页版软件。 期间共计9000万的PDF代币需要空投,空投和群内统计确认同步进行,首先收到了1-100号的确认Excel表格,空投完成后,又接到了102-200号确认好的表格,这些早期确认好的账号空投结束后,猴哥开始准备写当天的文章,发完文章后吃晚饭。 晚上又接到了1-200号补录进来的空投账号,至此所有人员的空投,全部发放完毕。空投账号里还剩余490万PDF,这是预留给运营和推广的代币,至此猴哥的空投工作,也就告一段落。 然后晚上开始协商UNISWAP的上线价格,因为按照成本的话190000个PDF才可以换1个ETH,大家商议后的结果是把价格溢价20%,定在168888换1个ETH。不想被人提前上线,上线的价格大概是90000换1个ETH。然后价格逐渐恢复理性,大概110000个PDF换1个ETH。 这时候,使用YAS兑换PDF的用户,已经产生了70%的收益。 但是没想到的是,晚上11点多,突然有两个卖单砸了下来,两个卖单累计490万,这也导致行情大跌,社区人员让我查看情况,我去区块网站查询后发现,居然是0x8888这个账号转出的PDF,然后被卖掉了,同时被转走的还有我的1.6个ETH。 起初我以为合约有漏洞,被人攻击了,但当我打开钱包看的时候,才发现只是普通的转账操作。很显然,空投账号的私钥被盗了。这个私钥是今天刚申请到的,我只用在了2个地方,一个是ZIP压缩包,另外一个是MetaMask钱包。钱包我用过好多年了,空投工具是第一次用,问题就处在了这个软件上。
到现在 2.一键清空了团队持仓 通过PDF计划书的第四条:四、以太坊上将保留5%的新通证用于宣传和运营,通过这里可以看到,未空投出去的5%,也就是大概475万的PDF用于团队的宣传和运营奖励。 这次砸盘的PDF不是增发出来的,而是团队的持仓。很明显,黑客把团队的持仓掏空了,并且还把转到的钱拿走了。 是福不是祸,是祸躲不过。从此,PDF在猴哥的失误和黑客的双重加持下,PDF成了全流通币,真正从根本上把成为了一个团队0持仓的项目。 好吧,现在除了你们自己,PDF里已经没人能割得了你了。 3.PDF合约审核情况 空投账号被清空后,社区产生了对PDF合约的怀疑,我也非常的担心,于是社区联络了好多人来查看代码的安全性。 AP认为他没发现有其他风险,PDF的合约是按合约的规则去执行的,被盗的空投账号无权操作合约。除非合约本身有漏洞存在。 ETH和EOS不同,ETH上链是不可篡改的,EOS的合约是可以修改的,当然前提还是代码没漏洞。 技术大佬的答复是,ETH合约有增发的功能,但是这个PDF没有设置owner权限,导致失去了增发的功能。他尝试过获取owner地址,但是没有获取到。 还有技术说,现在PDF的合约权限已经丢失了,合约写死了,已经谁也改不了了,反而错着错着就对了。 当然,我还是要提示风险,代码的东西我是看不懂,但是极客在我心里简直是神一般的存在,比如前几天DFS分红异常,比如YAM的失败,再比如昨天justswap的成千上万的假币,技术的东西没有绝对,再优秀的团队,也难免有漏洞,所以大家要保持对风险的警惕。 现在PDF已经全流通,合约已经被锁死无法修改,通过两项错误,实现了真正的去中心化:团队没有币or代码不可篡改 这会是一个团队归零还会好好活着的项目 4.深深的忏悔 昨晚到今早,一直在分析问题,联络技术人员来确认合约的安全性,没有时间和精力回复群内人员的消息,让大家担心了。也感谢大家的信任。 今天下午提着的心总算放下了一些。这次失误不仅让项目组资产清零,还带来了很多负面的影响,猴哥是在万分惭愧,给大家说声抱歉了,猴哥以后会更加任劳任怨,多为社区做贡献,来弥补对YAS社区的这次伤害。 同时,PDF正在制定下一步的升级计划,挫折中成长,让我们再起航吧。 —- 编译者/作者:猴哥区块链 玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。 |
PDF生死12小时,被盗始末丨PDF安全问题丨猴哥致歉
2020-08-20 猴哥区块链 来源:区块链网络
LOADING...
相关阅读:
- 通俗化讲解DeFi的逻辑与反逻辑2020-08-20
- Algorand在DeFi Push中升级了第1层智能合约功能2020-08-20
- 演化市场增加了USDT存款和帐户支持2020-08-20
- BitMEX CEO称DeFi代币是“狗屎”2020-08-20
- 8月分析报告9个角度观察加密货币市场2020-08-20