“一键发币”平台秘密增发项目曝光三无项目

近日，北京联安披露了一起离奇的增发事件。

Gold Chain（HJL）项目组近日在以太坊浏览器上发现，有部分未知地址持有HJL代币，数量超出项目发行总量。 北京连安对合约代码进行审计后发现，项目方发现的“一键发币”平台Yi代币在合约代码上作祟，偷偷发行HJL代币总量的1%，并盗取他们到指定地址进行提现。

据北京联安介绍，除HJL外，还招募了MH、CRS、LP等项目方。

暗开“后门”的第三方发币平台存在风险，使用第三方工具发币的项目方也被质疑：连智能合约发币的基础工作都难以做到独立完成，也很难有人在合约中安排后门。 想不通，这样的技术素养怎么能承担区块链项目的开发呢？

莫名其妙的增发事件，不仅暴露了“傻瓜”发币平台隐藏的后门、过度造币和套现问题，也让无官网、无白条的“三无”项目浮出水面论文，没有技术实力。 一旦这些项目在交易所上市，二级市场的投资者极有可能成为最终的“吃货者”。

“一键发币”平台秘密增发项目币

3月25日，区块链安全公司北京联安披露，Gold Chain（HJL）项目在以太坊浏览器上发现项目代币HJL数量大于发行总量。 经核实，多出的货币既不是同名货币也不是假币，更像是凭空出现在一个不知名的地址。

根据项目方的宣传资料，HJL代币发行总量为4300万枚。 然而，一个以“0xfA6D”开头的未知地址曾一次性获得43万个代币，恰好是HJL发行总量的1%。

奇怪的是，这个地址既不是项目方拥有的地址，也不是HJL代币的转账记录。 无法通过区块链浏览器追溯这部分 HJL 的来源。

搜索有关 HJL 的信息。 该代币于2月28日在BJEX交易所上市，在二级市场形成价格。 3月26日，HJL价格为0.008 USDT。 据此计算，从“0xfA6D”开头的地址获得的HJL价值为3440 USDT，折合人民币24700元。

以“0xfA6D”开头的地址凭空出现了HJL代币

虽然只占HJL总量的1%，但这笔莫名其妙多出的货币无异于一只空手套白狼，损害了项目方的利益。

最终，北京联安通过查询HJL的货币发行合同，发现了端倪。 智能合约在链上部署时，在代码层设置了向“0xfA6D”开头的地址充值总供应量的1%的指令，指令中包含悄悄发行的币不会被充值的设置。纳入总流通量。

北京联安经进一步沟通得知以太坊发币工具，项目方的发币合约并非自主开发，而是外包给了一个名为“一通通”的一键式发币平台。

随后，北京联安使用易币在测试网上部署了代币发行合约。 查看合约代码后发现，平台采用同样的方式，秘密增发代币，同样转入上述“0xfA6D”开头的地址。

至此，HJL莫名其妙的追加问题浮出水面。 外包发币平台干预代码，在未通知客户的情况下，发行并盗用客户项目总代币的1%。 一旦客户项目上市，这些额外发行的代币很可能会被出售换取现金。

截至3月26日，从“0xfA6D”开头的地址已完成4笔HJL转账，共计33万枚。

“傻瓜式”发币轻松让项目方裸奔

值得注意的是，在“0xfA6D”开头的地址中，除了HJL之外，还有Moneyhome（MH）、Phantom Matter（PHTM2）、CRS（CRS）、Libra Pi（LP）等多个ERC20代币。这些代币的生成方式与HJL类似，就好像是凭空出现的一样。 安全人员推测，这些代币的发行方可能采用了Yitoken的一键发币功能。

市面上除了一币，还可以搜索快发币、FinChain等一键发币平台。 这些平台基本上是使用智能合约发行代币的“哑版”。 您只需在代币发行界面填写代币全称、简称、初始流通等基本要素，即可生成代币发行合约，生成自定义代币。

一些第三方发布平台还提供一键开通交易所、一键众筹、对接交易所上币等服务。

第三方发币平台收取的费用不同。 以发行最基础的ERC20代币为例，一币手续费为39.99美元，快发币手续费为1ETH。 此外，这些平台还会为用户提供特殊需求。 货币发行界面展示销毁、合并转账、锁定、增发等功能。 当然，每增加一项功能，价格也会相应提高。

某发币平台官网页面

北京连安告诉蜂巢财经，目前还没有发现其他平台偷偷留下“后门”增发或盗币，但此类操作的门槛极低，不排除会出现新的案例在将来。

安全机构披露的现象也为依赖外包服务的区块链项目敲响了警钟。 北京联安认为，委托外包技术团队的项目方处于极不安全的“裸奔”状态。 在使用所谓的发币平台时，整个过程对他们来说就是一个黑盒子，他们无法知道里面的诡计。

更值得警惕的是，目前不少中小交易所在上币时并不要求项目方进行代码审计，这就造成了问题代码中的“机关”上币后无法及时封堵的风险通过层层关卡。

那么，一旦出现上述情况，该如何补救呢？ 北京联安告诉蜂巢财经，如果发币合约已经部署在链上，直接纠错在技术上有难度，只能重新部署合约，有两种情况。

证券机构进一步解释称，如果项目尚未上线交易所，代币尚未全部发放完毕，重新制定合约的影响较小，投资者只需告知投资者此前发行的代币已作废即可然后重新发行。

另一种情况是项目已经登陆交易所，在二级市场全面交易。 项目方需要与交易所和投资者进行沟通，制定重新部署合约后的换币计划。 “这样的话，不仅流程会比较繁琐，还可能对项目方的声誉造成负面影响。”

北京联安提醒，如果项目团队涉及外包开发，不仅要评估外包团队的能力，还要评估这些团队的道德风险。 此外，智能合约的安全审计也是必不可少的。

增币地址曝光“三无”项目

“一键发币”平台虽然在合约代码上作恶，损害了项目方的利益，但同时也暴露出部分项目方在区块链行业的技术“底裤”。

在网上搜索“以太坊发行代币”，可以看到很多ERC20代币发行教程。 一些教程作者表示，使用以太坊的智能合约“你可以轻松编写自己的代币”。

网上有很多发行ERC20代币的教程

据北京联安介绍，由于ERC20代币发行已经有了一套标准的开发模板，因此对代币发行的功能要求并不高。 只要具备基本的Solidity语言开发能力，熟悉以太坊上的合约部署和验证，就可以在没有第三方参与的情况下完成发行Token的工作。

按理说，对于频频号称要“改革”、“颠覆”互联网的区块链项目方来说以太坊发币工具，发币不是问题。 然而，“一键发币”傻瓜版平台的出现，似乎给出了相反的答案。

逐一查找以“0xfA6D”开头的地址中的代币信息，不难发现，这些项目都是所谓的“创新币”，风险极高。

以已经登陆BJEX交易所的金链（HJL）为例。 在其上币公告中，并没有公布官网和白皮书。 只是描述了它是一个基于区块链技术的全球账本式信息交互协作云平台。 网上查不到该项目的官网信息，也不知道是谁在运营这个项目。 上线该项目的BJEX交易所目前在飞小号上排名第108位。

另一个Moneyhome（MH）项目，只能找到相关的宣传资料。 “颠覆一切互联网金融”“内部币价只涨不跌”这些话简单粗暴，所描述的裂变返利模式也十分可疑。 有网友表示，Moneyhome是2月29日崩盘的。

“0xfA6D”开头的地址，暴露了币圈一批“三无”项目，连发币都要找外包项目。 如何期望他们开发区块链网络？

北京联安告诉蜂巢财经，目前币市参与者良莠不齐，很多项目方缺乏技术背景和能力。 对于只想发财的人来说，“求快”才是目标。 还着重于市场、运营等环节。 技术上没有长远的发展路线，所以他们不会建立专门的研发团队。 “找一个第三方平台来快速开发和部署合约，显然更经济。”

在北京连安看来，开后门增发代币、发行同名假币等行为其实很容易被发现，因为大多数代币发行合约在部署后都会开源，可以及时发现只要进行了相关的安全审计。

对于裸泳这个“三无”项目，技术能力从来都不是重点。 当他们还想着在二级市场“发财”的时候，并不知道“一键发币”平台率先暗中埋下了地雷。 如果这类项目进入二级市场，投资者将成为“taker”的最终受害者。