神奇的是,这次安全事故发生后,代币的价格没崩,没有单独的受害者,也没有维权,就因为黑客没偷项目方的秘钥,也没盗走用户的资产,而是采用了一种更隐蔽的方式:在矿工兢兢业业挖矿的时候,悄悄「增发」了RVN(Ravencoin),让人以为(至少看起来)像是系统正常产生的代币。
事情的经过是这样的。
6月29日早上,海外的CryptoScope团队成员最先发现区块链项目Ravencoin并没有按照预期运行,在每个区块正常产生RVN之外,还额外创建了多余的RVN。他们很快对异常进行标记。在确认漏洞后,他们联系了Ravencoin开发团队。
经开发团队确认,Ravencoin确实存在漏洞,随后团发布紧急修复公告。截至这时,漏洞已经让系统多产生了约1.4%(约3亿枚)的RVN代币,这部分凭空产生的代币,数量大概是所有RVN矿工埋头苦干44天的开采量。
由于这部分RVN没有任何限制,等到被发现时,大部分代币已经流入了加密市场,冻结、回滚等常规操作已经无法奏效。
根据CryptoScope的披露,这些被增发的代币,大部分流入了币安,少部分流入了OKEx。或许,这个「聪明」的黑客并没有急躁地卖出砸盘,而是有耐心地出货,一直到被发现。根据加密货币行情网站Coinmarketcap的数据,今年6、7月份,RVN代币的二级市场价格并没有产生明显下跌,甚至在7月6日后迎来了上涨。
不幸的是,在开发团队发布补丁和新协议执行之前的几个小时,又有人利用这个漏洞「增发」了约480万枚RVN。根据团队的披露和确认,至少有三个加密地址牵涉其中。
核心开发者TronBlack透露,其中有一个「攻击者」留下了蛛丝马迹,开发人员掌握了信息后,希望对方将增发的RVN转至RXBurnXXXXXXXXXXXXXXXXWUo9FV地址进行销毁。据披露,被掌握信息的「盗贼」后续将增发的部分代币打回了销毁地址。最终,大约390万枚RVN代币通过这种方式被销毁掉了。
Ravencoin为什么会被盯上?
黑客之所以盯上Ravencoin的挖矿代码,而不是盗走团队的私钥,或者用户的币,其实也有原因。
Ravencoin简称RVN,中文名是「乌鸦币」或「渡鸦币」,于2018年1月诞生,无IC0,无预挖矿,是个纯粹的「社区币」。乌鸦币在比特币源码基础上进行算法改良,优化转账环节,并增加类似以太坊的资产通证发行功能,意在打造一个完全去中心化、社区自治的区块链服务平台。
其实,区块链领域中完全社区化的项目并不算多,因为没有预挖和预留,估计除了老老实实挖矿的收入,开发团队手上也没多少币。之前加密货币交易平台币安的创始人赵长鹏,就曾公开赞扬乌鸦币团队:「没有IC0,社区化项目,低调谦逊的团队,不需要