外包发币乱象:收费10万,漏洞不管
今日,EDU、BAI等项目接连被爆出存在安全漏洞,比特币黄金出现“双花攻击”。 区块链项目团队的技术能力再次成为行业讨论的话题。
上周,名为ZJL Distributed factoring network(终极账本)在上线交易所HADAX前,因为突然宣布置换新Token引发投资者极度不安。
置换公告一出,一则“项目方无技术团队,外包发币以致留下后门遭盗币”的传闻流入社群,同时一些投资者称找项目方置换遭拒,多重叠加因素加剧了投资者的恐慌情绪。
很快,事件随着项目方快速完成置换获得平息,而其“代币为项目方外包发行”的质疑也随即消散,ZJL也对此事绝口不提。
而蜂巢财经调查发现,区块链行业内,缺乏技术团队的项目方寻找外包公司发行智能合约代币的现象确实存在,发币成本仅需10万元。业内人士称甚至存在层层转包的情况,而这些外包公司并不对智能合约的安全性负责,没有技术团队的项目方,也没能力应对漏洞风险。
投资者惊魂:突发置换引恐慌
不到半个月,还在读大三的张志勇(化名)经历了一场投资标的ZJL代币差点打水漂的煎熬。
5月11日,当ZJL Distributed factoring network(终极账本)拿到上线火币HADAX的资格时,张志勇(化名)心里的石头落了地。
今年年初,还在读大三的张志勇,在某微博大V的电报群里发现ZJL在搞众筹。他在一家网贷平台上借款1万元,背着“借款半年、利息800多元”的债务,拿到了些私募额度。
等待4个多月后,ZJL终于宣布将上线火币HADAX,还有一个月就要还债的张志勇摩拳擦掌,期待着靠炒币赚钱、回本、还债。
即将上线的消息刚被投资者们焐热了一天,ZJL官方客服在其官方电报群内发出一则“置换代币的公告”。
公告显示,原ZJL代币将置换为另一种同样基于以太坊开发完成的ZJL币,置换完成后,原ZJL币将被销毁。而所有ZJL代币持有者须在7天内将手中的代币发送至指定地址,并私信客服出具最初认购渠道来源证明合规,同时把带有日期的转账截图发给客服确认,否则无法完成置换。
这让张志勇感到奇怪,一个即将上线交易所的项目,为什么要突然置换成新币?
很快,网上爆出ZJL 本次换币的“真实原因”。有来自自媒体的消息称,ZJL项目方没技术能力自行发行代币,请了外包团队后被留“后门”,导致代币增发,大量虚假Token流入市场。
张志勇心里凉了半截,如果这个消息是真的,意味着这个号称“基于区块链技术构建企业信用价值生态网络”的项目,面临着夭折的可能。
完成置换后 ZJL未就“漏洞”作任何回应
随着消息越传越广,ZJL持币者的恐慌情绪被点燃。
另一名前期参与ZJL众筹的投资者认为,如果只是单纯的系统升级,项目方完全可以像其他项目一样,用户将代币放置钱包后1:1自动兑换即可,或者以空投的形式也能实现。“为什么官方要让用户主动打币?还要投资者出具最初认购渠道的来源证明,很难不让人怀疑是项目本身出事了!”
当天下午,他第一时间联系到了ZJL客服,对方给了他答复:只要提供真实来源的都可以换币。但对项目存在漏洞的质疑只字未提。
置换公告推出当天,另一名从代投手中拿到额度的投资者刘东(化名)发现,自己手中的代币被项目方以智能合约的方式锁定了。当他联系客服咨询原因时,对方的答复是本轮置换暂时只对5月5号以前下发代币的用户开放。
刘东要求项目方解锁他的币,官方仅回了他句“找代投”,“但我的币是官方锁了,代投怎么给我解锁呢?”
由于上线火币HADAX的消息已经确认,令他最为担心的是如果HADAX在代币置换期间突然上线,而他手中的代币被锁定,在市场情绪不佳的情况下,币价一旦暴跌,他连止损也做不到。
针对上述情况,ZJL项目方客服向蜂巢财经解释,被锁定代币的投资者可以置换,只是由于投资者众多,处理需要时间,请他联系客服,说明具体情况。
对于外界关于ZJL项目被外包团队留“后门”的质疑,对方未予以答复。
就在刘东打算向代投方求助时,项目方给投资者们承诺,将完成所有用户的代币置换工作。刘东的置换难题在一周内得到了解决。
事件的处理赢得了投资者点赞,利益纠纷快速得到解决,社群里也恢复了平静,没人再去关心该项目是否存在外包开发代币一事,截至发稿日,ZJL项目方也始终未就“漏洞事件”作出回应。
但蜂巢财经调查发现,外包发币这种现象在业内确实存在,“外包币”的安全问题引人担忧。
代币开发层层转包 后期漏洞不负责
在百度搜索引擎上,输入“区块链代币开发”进行检索,有440万条相关结果,承接外包的广告被置顶。
这些代币开发的外包团队,宣称能为项目方提供专属网络、身份链、智能合约、共识机制、跨链交易、多链交互等多种开发服务。
综合多家报价,蜂巢财经调查发现,普通“代币开发+钱包” 的开发费用大概在10万元左右。如果再加上开发诸如公信宝、Steemit 等基于区块链技术的DAPP应用,整套开发费用所需仅为20万至30万元不等。
相比项目方动辄募资上亿的收入看,最多30万的成本仅是融资收入的九牛一毛。
一家公司的商务专员称,开发是按照他们已有的钱包和智能合约模式进行,再加上Dapp的开发周期,35-40天左右就能完成。“后期每年维护的费用是最初开发费用的10% 。”
一名资深的程序员对蜂巢财经表示,程序开发不免出现漏洞,如果开发团队本身不掌握核心技术,外包公司依据现成的智能合约模块埋下漏洞,风险既有可能将以“复制粘贴”的形式出现在项目中。
今年4月22日,黑客攻击致使BEC(美蜜)智能合约漏洞导致币价趋近归零,市值蒸发超过64亿人民币的事件,引爆了业内对ERC-20代币安全性的质疑。
今日,上线火币Pro的EDUCoin也被爆出漏洞,攻击者利用漏洞转走任何账户的EDU代币,该合约还存在没有Pause设计的问题,以致于用户无法止损。
对于智能合约开发的安全性,上述外包公司的商务专员表示,公司只负责把智能合约给到项目方,项目方需验收。代币发行根据已有的代码构成,他们不为后期出现的漏洞负责,“需要项目方前期审计好。”
什么样的团队会将“智能合约发币”这种核心业务外包?国内某知名公链项目社区运营负责人向蜂巢财经表示,不懂技术的项目会采取此类做法,连他们这个公链项目的开发团队,都会被一些中间商找上门。
“一些圈钱的项目团队本身就不懂技术,于是找一些中间商帮忙发行代币,中间商也不懂,最终就会找到一些开发公司或者技术团队,由此形成了一套多级分销的系统,其中要是出现什么漏洞,追责起来十分困难。”
纵观ZJL“换币”疑云及今日多起智能合约漏洞的爆发,币的市值并不能反应某个项目的真实价值。区块链应用落地尚远,漏洞风险频发,技术安全才是行业早期亟待解决的问题。
为方便交流,请加唐长老微信(微信号:daipohou),拉你进入“蜂巢财经反割联盟”,定期组织嘉宾分享,交流行业干货。