首页
学习
活动
专区
工具
TVP
发布

漏洞危机溯源:代码互抄集中爆发

继美链BeautyChain(BEC)的智能合约漏洞被黑客利用、随意刷币后,今日凌晨,SmartMesh(SMT)也出现交易异常,项目方向交易平台反馈其以太坊智能合约存在漏洞。

OKEx暂停SMT充值和交易,并暂停ERC20代币充值,火币Pro暂停所有币种的充提币业务。

受此事影响,数字货币市场在早上出现普跌行情。

事实上,在SMT反馈漏洞前,基于该项目创立的MeshBox(MESH)已经暴露了相同的漏洞危机,其中一笔交易中发生了天量级代币数额的转移。

区块链安全公司PeckShield发现了这一漏洞,同时检测到还有另外7个智能合约项目存在相同漏洞,并对外发布预警。

多个项目集中出现相同漏洞,背后是区块链项目方常被诟病的“代码互抄”问题的一次集中反应。

SMT和BEC的漏洞本质相同

SMT的漏洞暴露源于一笔异常交易。以太坊浏览器显示,今日凌晨,大量的SMT代币发生异常转移,数额在兆亿级以上。

区块链安全公司PeckShield检测到了这个异常。而在此异常发生的6个小时前,该公司发现,基于SMT的另一个智能合约项目MESH已经存在相同异常反应,有人将大量的MESH代币转移到一个地址。

“这都是ProxyOverflow漏洞被利用的结果,攻击者采取了相同的攻击模式。”PeckShield创始人范旭宪对蜂巢财经表示,他们研究相应的智能合约代码时发现,两个项目都采用了ProxyTransfer( )函数。这个函数存在整数溢出漏洞,其中两个可供控制的输入参数一旦相加,形成整数溢出的情况,便可以绕过完整性检查,后果就是攻击者可以随意添加代币数量,还能将大量的代币转移到一个没有余额的地址,一旦打进交易所里,就可以变成随意买卖的数字资产。

“这也是为什么交易所会关闭充值、提现业务的原因。”范旭宪进一步解释称,一旦SMT充值进交易所,就可以换成比特币或以太坊,把钱洗走,更严重的后果是大量抛售这个代币,带来价格快速被拉低,造成市场崩盘。

4月22日,美图token、美链BEC智能合约的安全漏洞就导致了上述后果的发生。攻击者利用这一漏洞,获得了

57,896,044,618,658,100,000,000,000,000,000,000,000,000,000,000,000,000,000,000.792003956564819968个BEC,同一时间大额BEC迅速抛售套现,引发价格闪崩,当天大跌近94%,市值跌为10亿元,蒸发了120亿元,整个代币几近归零。

范旭宪表示,BEC事件是智能合约中的BatchOverFlow漏洞引发的,虽然名称不同,但本质上一样,都是整数溢出问题导致的。

不同项目漏洞相同印证“代码互袭”乱象

除了SMT和MESH外,PeckShield还监测到另外7个智能合约项目都存在相同的漏洞危机,一些已经进入交易市场,而另一些还没有上线交易所处于测试阶段。

蜂巢财经检索发现,其中MESH、SMART、SMT、MTC、FirstCoin、CNY均为已经进入交易所的项目。

漏洞事件集中爆发,不同的项目存在相同的漏洞,这也让业内一直存在的“代码互抄”现象,再次成为网络上关注区块链技术的投资者们讨论的话题。

“很明显存在这种问题。”范旭宪把这种现象称为“代码复用”,他说,国内很多区块链项目的代码库直接利用公链来实现的,比如基于以太坊发行的ERC-20代币,他们使用了统一标准完成发币,但在安全设计上却无法像公链一样接受长时间的考验,“甚至都没有思考过安全问题。”

但在范旭宪看来,更为严重的是漏洞应急机制的空白。

范旭宪举例说,PeckShield一直利用自动化的系统扫描和分析基于以太坊的ERC-20代币传输漏洞,他们在SMT出现大规模代币转移前,就监测到了各个项目都存在类似问题,但是作为第三方的独立公司,很难联系到项目方去做提醒,“找不到这些项目团队的联系方式。”

在范旭宪看来,区块链世界崇尚“代码即法律”的原则,认为代码是怎样就是怎样,不该去修改。项目开发者去中心化的部署,让漏洞危机出现后的响应效率变得很低。

对于如何解决安全漏洞问题,范旭宪认为,需要整个生态的利益相关方保持沟通,“特别是项目团队,上线前的代码审计需要做好,和交易所的沟通渠道也要保持畅通,当然这也是一种挑战,中心化的交易所还能发布公告做出反应,去中心化的交易所遇到类似问题该怎么办呢?一些场外交易所就更加麻烦了,他们只是撮合买卖平台,如果信息不透明,投资者手中的代币价值在不知情的情况下会收到损失。”

范旭宪认为,区块链行业的安全应急机制还属于空白,搭建可能仍需要很长时间。

为方便交流,请加蜂姐微信,拉你进入“巢客区块链投资交流群”,定期组织嘉宾分享,交流行业干货。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180425G1WQ3Z00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

相关快讯

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券