雷锋网消息,6月28日深夜,慢雾科技发布了一条针对USDT的预警和漏洞分析,提醒各大交易所尽快暂停 USDT 充值功能,并自查代码是否存在该逻辑缺陷。
#预警# #漏洞分析# 交易所在进行 USDT 充值交易确认是否成功时存在逻辑缺陷,未校验区块链上交易详情中 valid 字段值是否为 true,导致“假充值”,用户未损失任何 USDT 却成功向交易所充值了 USDT,而且这些 USDT 可以正常进行交易。
我们已经确认真实攻击发生!相关交易所应尽快暂停 USDT 充值功能,并自查代码是否存在该逻辑缺陷。
这就相当于,你不用给你的银行账户上充钱,你的账户余额也可以蹭蹭往上涨,而且你还能立马进行交易。
预警和漏洞分析发出后,火币、OKEx各大交易所相继暂停USDT的充提:
据慢雾科技创始人余弦分析,USDT 的安全问题,是一种长得像 feature 的 bug,这种 feature 非常可怕,它需要技术人员的特别照顾,无法忽略。但是技术人员质量是参差不齐的或不小心来了个大意,导致 feature 没法被照顾好,一个定时炸弹就这样埋下了。