blockwell.ai KYC Casper Token “牛皮癣广告” 事件分析

来源：区块链·404专栏作者：知道创宇404区块链安全研究团队2018年9月7日早上1点左右，许多以太坊钱包账户都收到了一种名为blockwell.aiKYCCasperToken代币转进/出账消息：

blockwell.aiKYCCasperToken“牛皮癣广告”事件分析

令人奇怪的是这些账号均表示之前对这个Token的“一无所知”，当这些收到消息用户并没有真正收到提示的那100个代币，而那些提示有100代币转出的用户在之前也并没有拥有过这种代币，这一切都显得“莫名其妙”！

继续跟踪到转账的from地址：https://etherscan.io/address/0xeb7a58d6938ed813f04f36a4ea51ebb5854fa545#tokentxns

正如文章开头提到的那样：所有的来源账户本身都是不持有这种代币的，跟踪一下也可以发现，无论是发起交易者还是接受交易者，都没有发生实际代币的变化。但是这些交易记录确实被保存在链上，那么这个事件的核心问题就在于：“这些记录是怎么被产生并记录的？

测试合约地址https://etherscan.io/address/0xd69381aec4efd9599cfce1dc85d1dee9a28bfda2注：这里需要强调的是：转出/入账的地址都是可以自定义的，这也就是为什么所有的来源账户本身都是不持有这种代币的原因。然后直接发起交易

然后我们的imtoken提示了消息，注意收到的消息了包含了我们的代码里symbol=