SMT与BEC的漏洞只是程序员失误这么简单么?
4月25日消息,火币Pro发布公告称,SMT项目方反馈今日凌晨发现其交易存在异常问题,经初步排查,SMT的以太坊智能合约存在漏洞,暂时停止所有币种充提。同时,OKEx发布公告称,4月25日04时(HKT)左右,SMT出现异常交易,应SMT项目方的要求,暂时关闭SMT/USDT、SMT/BTC、SMT/ETH的交易和SMT的提现。
据了解,SMT发现与前几日爆出的美图BEC代币类似的安全漏洞,可通过溢出攻击可以收到大量的代币。
BEC事件回顾
4月22日中午,BEC美蜜遭遇黑客的毁灭性攻击,天量BEC从两个地址转出,引发了市场抛售潮。当日,BEC的价值几乎归零。
前一日黑客操作的交易记录是 0xad89ff16fd1ebe3a0a7cf4ed282302c06626c1af33221ebe0d3a470aba4a660f。
系统数据显示,该黑客利用以太坊 ERC-20 智能合约中数据溢出的漏洞,在昨日的攻击中凭空转出57,896,044,618,658,100,000,000,000,000,000,000,000,000,000,000,000,000,000,000.792003956564819968 个 BEC。转出数量远远超过了BEC的发行总数70亿枚,市场顿时陷入疯狂抛售,BEC近65亿元人民币的市值也几乎瞬间归零。
而攻击成功的原因,居然是因为BEC的某一段代码忘记使用safeMath方法,导致系统产生了整数溢出漏洞。据PeckShield 团队今日凌晨发布的安全报告,黑客利用 in-the-wild(一种从代码中抓取漏洞的手段)方法,从BEC的程序中抓取到了漏洞,并发动了攻击。
利用这个漏洞,黑客可以通过转账的手段生成合约中不存在的代币, 并将这些无中生有的数字货币转入正常账户。这些凭空产生的代币在使用上与真实代币没有差别。
多个ERC20智能合约或将受到影响
“最近的 ERC20 的转账的安全问题,直接原因都是代码安全漏洞,由程序员背锅,但大家比较少讨论其深层次的原因,为什么以太坊比较容易出安全问题?以太坊只是一个记录 dapp 执行结果的区块链,其本身并没有加密货币复式记账所需的 utxo 模型。重要的 token 资产本身是需要货币级别的安全程度,以太坊目前的设计更适合游戏积分之类的合约运行结果。”微博研发副总经理Tim Yang发布个人微博这样说。
因此,他强调,重要的 token 资产不适合构建在 ERC20 体系基础之上。
出问题的只是BEC和SMT吗?问题可能比想象的严重得多。区块链安全公司 PeckShield发出预警称,多个ERC20智能合约遭受proxyOverflow漏洞影响,其检测定位到大量的ERC20 Token都受此影响,包括:
这两次事件只是巧合都是人为因素导致的,但换个角度来看,出现这种低级错误而且还是在之前有过案例的情况下出现,这能说明什么,相信投资者都心知肚明了。
「声明:文章仅作信息传递,不构成投资建议」
如果想咨询区块链相关事宜请后台私聊首席区块链!
另外大家发现任何关于区块链企业的问题,也请私聊首席区块链!
首席区块链,您身边的区块链秘书!
- 发表于:
- 原文链接:http://kuaibao.qq.com/s/20180427G13XA600?refer=cp_1026
- 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
- 如有侵权,请联系 cloudcommunity@tencent.com 删除。
相关快讯
扫码
添加站长 进交流群
领取专属 10元无门槛券
私享最新 技术干货
腾讯云开发者
