免责声明：本文旨在传递更多市场信息，不构成任何投资建议。文章仅代表作者观点，不代表火星财经官方立场。 　　

　　

　　边肖：记得要集中注意力。 　　

　　

　　来源：连北景安 　　

　　

　　相信你对代币领域的“增发”这个概念很熟悉。例如，TEDA最近在以太坊发行了额外的ERC20标准USDT，这一直充满争议，因为这是一种增加代币发行量的行为。当然，一般情况下，代币的发放是公开的，有据可查的，我们可以及时回应，甚至干扰与相关项目方的沟通。但是，如果这种“发放”没有记录，甚至项目各方都不知道，怎么办？你可能会觉得奇怪，竟然会有这么奇怪的事情？是的，最近，连北景安发现了在合同中设置后门，秘密发行额外令牌并窃取它们的不良行为。 　　

　　

　　近日，连北景安接到部分项目方反映，他们在发布ERC20令牌后，发现一些来源不明的令牌在链上被转移，而没有进一步分发到其他地址，即这些令牌的原始来源并不是创建合同时分配给官方地址的令牌。与此同时，项目方还发现，这些代币并不是以相同名称创建的其他合同产生的同名或“假币”，而更像是并非由他们发起的“增发”。 　　

　　

　　比如一个项目，方便体现。他们观察到以太坊链条上其代币HJL交易的异常发行。以太坊网络上好像凭空产生了一些代币，没有产生任何记录。那么说一个好的区块链不能被篡改和追踪呢？ 　　

　　

　　本项目地址如下：3359cn.etherscan.com/token/0xf6cba5729E9137149A278DB075B 53f 429 aa 31 c 54 　　

　　

　　这是增发造成的吗？在真正意义上，我们认为相关项目的发起人或授权方应该主动增加代币的供应。一般情况下，增发代币具备以下条件： 　　

　　

　　智能合约支持附加令牌。颁发额外令牌的权利通常由智能合同所有者帐户持有。在这种情况下，我们应该看到的是链家的增发记录。例如，额外发行的ERC20 USDT将有类似的记录： 　　

　　

　　但根据项目方的报告，他们并没有向0 xa 6 DD 2 b 9976d 67852 cc 3180 f1 ef 8692 C4 ad 87 c转账，这个地址似乎有一个“从天而降”的令牌。 　　

　　

　　可以看到，在上面的记录中，契约创建后产生了4300万个hjl，它们被转移到0xfee0c开头的地址，然后该地址被转移到0xfe6dd2开头的地址。然后我们看到了0xfe6dd2开头地址的转移。显然，这个地址之前没有获得官方创建的相关令牌。 　　

　　

　　所以我们进一步查了这个令牌的合约：https://cn . ethers can . com/address/0 xf 6 CBA 5729 e 9137149 a 278 db 075 b 53 f 429 aa 31 c 54 #合约。 　　

　　

　　终于，我们发现了其中的奥秘。智能合约部署到链上时，通过正常投放参数_totalSupply设置了货源的令牌，同时将总货源的1%的令牌充值到地址为0 xa 6 DD 2 b 976d 67852 C4 b 3180 f1 ef 8692 C4 ad 87 c的账户。而这1%的代币并不包含在总供应量中。就HJL而言，相当于实际发行4300000 430000 * 1%=4300000 430000=43430000 HJL，多出来的HJL好像被这个地址“偷走”了。 　　

　　

　　从地址0 xa 6 DD 2 b 9976d 67852 cc 3180 f1 ef 8692 C4 ad 87 c的HJL的转让，真的给人凭空得到HJL的感觉，转让出去330000HJL。 　　

　　

　　这个地址还剩下10万个hjl，加上已经转让的hjl共计43万个hjl，符合合同中的操作。 　　

　　

　　进一步查阅这个地址的转账记录，我们发现这种“天降横财”的代币不止一个，都是没有转入或合约调用，地址直接转出这些代币。 　　

　　

　　这些项目的合同都遇到类似的问题吗？我们查询了幻影物质(PHTM2)的合同：https://cn . ethers can . com/address/0x BC 4 BC 7577 e 4042d 45 AE 189 ba 6 c 0 b 264d 7 dbab 34 #代码。 　　

lamuhao.com/pic/img.php?k=usdt钱包怎么充值,usdt钱包怎么看是假币7.jpg">不出意外的，我们看到了同样的代码，同样的地址，同样的百分之一增发式“偷取”策略，由此可见这实际上是相关合约留有后门，但是项目方表示并不知情，那么他们又是如何中招的呢。

　　

与项目方的沟通进一步了解到，其发币合约并非自己开发，而是在一个名为“易代币”的发币平台完成，接下来的问题就是在使用这个平台的过程中：

　　

平台的模板是否带有这样的代码。如果带有这样的代码，是否这本是其功能设置的一部分，或者是客户支付费用的既定方式。如果有这样的功能和设置，是否明示给客户。于是，我们在测试网上进行了测试，在网站上，用户首先选择发币类型。

　　

接着输入名称、符号、供应量等信息。

　　

最后是支付相应的创建交易费用，然后确认就可以了，全程没有任何地方提及会有最终合约代码中产生的多发1%代币并转到其指定地址的行为，显然这并不是一个其既有的面向客户的功能或者设置。

　　

北京链安已经在测试网络使用了该代币生成网站并部署合约，从合约代码来看，也看到了同样的多发Token并窃取的行为，接收地址也是0xfa6dd2b9976d67852cc4b3180f1ef8692c4ad87c。由此可见，该网站以代币发布平台为名，在为客户提供代币发布服务的同时，在客户不知情的情况下获得代币，一旦相关代币可以交易流通，他们将可以将其卖出获益。

　　

就0xfa6dd2b9976d67852cc4b3180f1ef8692c4ad87c地址关联的项目而言，主要有：

　　

HJL (HJL)

　　

Moneyhome (MH)

　　

Phantom Matter (PHTM2)

　　

CRS (CRS)

　　

Libra Pi (LP)

　　

SMART (SMART)

　　

UCC (UC)

　　

其中部分Token已经在交易所交易，我们也看到了涉事地址向相关交易所转账的记录，可见其模式便是暗中多发1%的Token，待其中有币上所便跟进卖出获利。

　　

整个过程，我们发现项目方处于一种极不安全的“裸奔”状态，在使用所谓的发币平台的时候，整个过程对它们是黑盒的，它们看到的只是些设置选项，根本不知道中间的猫腻。与此同时，尽管代码部署并开验证后会开源，但是使用这样的平台的项目方通常技术能力有限，不会去检查其中的缺陷，而目前很多中小交易所上币的时候也不会对项目方做代码审计要求，这就造成这一代码里如此“张扬”的后门通过层层关卡而未被及时堵截。

　　

在这里，北京链安提醒业内各方，对于涉及智能合约的开发请遵循相应的安全原则，如涉及外包开发请在对其能力评估的同时注意道德风险的评估。最后，智能合约的安全审计环节必不可少，请及时联系专业的安全机构进行相应的安全检测。