狗狗链DRC20索引服务商verydogelabs被曝出重大安全漏洞
接触过狗狗链铭文的玩家应该都清楚,DRC20目前为止一共两种协议,三家索引,其中cardinals协议的unielon这里就不提了,很早就被实锤不是铭刻在狗狗链上的,所以自称也是DRC20完全是蹭热度,正统的DRC20只有doginals协议,但是doginals协议也有两家索引,一家dpal钱包,还有一家是verydogelabs。
关于DRC20的发展历程,我听到了一个老玩家的阐述:
首先dpal钱包已经运营了两年多,做的是狗狗链的支付,在今年5月份brc20火起来之后,然后dpal钱包开通了狗狗链铭文的mint功能,有几个推特大v发帖说了这个事,于是一大群错过了brc20的人跑过来安装dpal钱包开始mint狗狗链铭文。这时候没有索引,都是盲打,协议是doginals,然后大家发现原来3月份就有doginals协议了,跟ordinals差不多同时间发布的,而且doginals协议发布的时候就部署了几个铭文,并且早就被打完了,这时候玩家们也没管那么多,都疯狂的打新部署的铭文,每天都有很多新部署的DRC20铭文,直到有一天有人部署了dogi,大家都说这个是龙头,可是dogi这个名字早在3月份被部署,并且被几个地址用节点打完了。然后所有人都觉得这么好的名字不应该白白送给那几个老鼠仓,大家开始疯狂打,21万张3天就打完了,但是大家觉得还是不够公平,都认为玩铭文就是玩的公平,因为有些会用节点的科学家比散户打的快得多,于是都呼吁dpal钱包开发者杀女巫,就是那些节点,最终在6月初杀了女巫,释放出20%,大家又开始疯狂打,当天就全部打完了,后面为了跟老鼠仓做区分,在显示上改成dogim,但是链上还是dogi。后来verydogelabs出来了,做了drc20索引,他们支持dogi不支持dogim,而dpal那边支持dogim不支持dogi,这也是很多人怀疑verydogelabs的背后就是老鼠仓那群人的原因。
在每个使用verydogelabs索引的市场里,都可以搜到那几个老鼠仓地址的分仓记录,有的一个地址就分仓高达几千次。
在打完大部分铭文之后,verydogelabs率先做了全索引,是照搬brc20开源的索引方式,并且准备做挂单交易市场,而dpal钱包那边迟迟没有做全索引,而是暂时先接入第三方ordifind提供的索引,因为这套索引存在很多安全问题,首先是brc20早期也存在的双花问题,其次就是最近爆出来的操控任意地址打包铭文的漏洞,这些都属于索引底层的漏洞,正常应该先解决索引问题,再去做市场,上交易所,但是恰恰因为同一个协议有两家在竞争,所以verydogelabs没管那么多,一直着急的找各种大v做宣传,做市场,对接上所,直到现在这个漏洞也被爆出来,但是现在已经没有挽回余地了,最终承受损失的只能是玩家。反观另一家dpal钱包,开发者们一直在寻求解决方案,最终在9月份推出新的索引方式,完美解决双花问题,也解决了所有的索引层面的漏洞,并且开发出了首个铭文swap:https://www.dogex.me/swordpool,这个swap交易市场运行至今3个多月,成交额已经超过10亿狗狗币,没有出现过任何bug,可见深耕技术的重要性,而verydogelabs那种照搬brc20的索引方式,是做不了swap的,所以他们只能上所,目前上了gate和一家不知名小所,但是现在曝出这个漏洞,后面实在不知道他们会怎样收场了。
这个索引漏洞是一个技术大佬很早前曝光并且在GitHub开源了代码,只不过没多少人关注,最近被人发现后有人进行了测试,而且小编我也测试了几次,并且咨询了身边懂技术的朋友,他们一致认为这种是索引底层的漏洞,没法修复,除非全部重做索引,而且这影响的是整个索引下所有的铭文,包括dogi,fiwb,oink,musk,bm2k,dcex等,目前使用verydogelabs索引的几家挂单交易市场,属doggy流量最大,可见最终受影响最大的也会是doggy。
测试步骤:
1、nodejs.org下载最新版,安装
2、打开GitHub公开代码网址:https://github.com/zpunk0306/rchack,下载解压
3、打开解压后的文件夹,,点击最上方地址栏,把地址改成cmd,然后回车
4、进入黑白操作界面后,输入npm install,等待运行
5、关闭黑白屏操作界面,在文件夹里,把config文件用记事本打开,第一行引号里输入你的操作钱包十二个助记词,空格隔开,第二行引号里输入你的操作钱包地址,第三行引号里输入 免费节点字符串,去nownodes.io免费申请,最后保存退出。(建议新建一个狗狗链钱包,放几个狗狗币做gas)
6、重复之前操作进入黑白屏界面,复制这一行,粘贴进去,node index.js --tick=铭文名字 --amt=数量 --receiver=你想打包的地址
7、最后回车等着操作提示,会出现几行哈希,那就是成功了。
看懂了没,可以自己去测试下就清楚了,这个漏洞就是任何人可以给verydogelabs索引里任意一种铭文,任意一个持仓地址打包他的铭文,并且他如果不知道自己铭文被别人打包了,而去交易或者转账狗狗币,有一定几率会把他的铭文当作gas转丢。再次强调,是所有verydogelabs索引里的所有铭文,而且这是索引底层的漏洞,没法修复!你操控别人钱包地址去打包他的所有铭文,只需要一笔0.03狗狗币的gas即可!
在这两天有人发现这个漏洞之后,我发现很多verydogelabs索引里的铭文,持仓靠前的地址都被打包了,尤其是dogi,其中肯定包括交易所的地址,也就是说,如果别人一直盯着这些排名靠前的地址不停的打包,交易所里就没法提币,最终交易所只能退市,其他交易所更不敢再对接,交易市场里也没法交易了。
这是dogi持仓地址排名,靠前的都已经被人打包了,红框左侧是可用余额,右侧是已打包铭文。
散户觉醒吧,别再被这些币圈毒瘤割了,他们连最基础的索引都没做好,就急着开市场,花钱上所,只想割韭菜,根本不在乎玩家的资金安全,这漏洞百出的老鼠仓还会有傻子跑去送钱吗?老鼠仓的证据就摆在那,随便找一家支持verydogelabs索引的网站就能查到分仓记录,也能计算出原始数量,筹码全在老鼠仓手上,铭文玩的是公平啊,你跑去送钱?就因为他是第一个部署的?之前曝出双花问题,很多人也是不在乎,现在这么重大的安全漏洞,而且是无法修复的,要是还有傻子继续送钱,那谁也救不了他!!!