美图终止与BEC合作,SMT再现安全漏洞

三日前,美链因存在安全漏洞被交易所停止交易。(详情可查看《美蜜币BEC遭攻击被OKEx下架, 美图区块链之梦或遇第一次打击》)

今日,美图公司声明,即日起公司旗下海外产品BeautyPlus终止与Beauty Chain(BEC美链)的海外推广合作。

合作终止后,美图与Beauty Chain(BEC美链)将无任何合作。同时,美图重申没有、也不会发行任何数字货币。

声明

即日起,美图公司旗下海外产品BeautyPlus终止与Beauty Chain(BEC美链)的海外推广合作。合作终止后,美图与Beauty Chain(BEC美链)将无任何合作。

美图重申,公司对区块链技术的关注在于探索前沿技术本身,目前仍处于早期的研究阶段。美图公司没有、也不会发行任何数字货币。

美图公司

2018年4月25日

不管美图是否能成功甩包,现在,这已经不仅仅是美图的问题了。就在今天,另一支币也掉进了同一个坑。

今日早间,火币Pro公告,SMT项目方反馈今日凌晨发现其交易存在异常问题,经初步排查,SMT的以太坊智能合约存在漏洞。火币Pro也同期检测到TXID为0x0775e55c402281e8ff24cf37d6f2079bf2a768cf7254593287b5f8a0f621fb83的异常。受此影响,火币Pro现决定暂停所有币种的充提币业务。

随后,火币Pro又发布公告称暂停SMT/USDT、SMT/BTC和SMT/ETH的交易。

尊敬的用户:

应SmartMesh (SMT)项目方的要求,火币Pro暂停SMT/USDT、SMT/BTC和SMT/ETH的交易,具体开放时间另行通知。火币Pro会随时与项目方保持联络,待项目方有最新进展我们会第一时间公布,给您带来的不便深表歉意,感谢您的理解与支持!

火币全球专业站2018年4月25日

截止暂停交易,SMT在火币Pro的价格下跌近20% 。

回顾下之前美图BEC遭遇的问题,也是智能合约存在漏洞,可通过溢出攻击可收到大量的代币。黑客利用以太坊ERC-20智能合约中BatchOverFlow漏洞中的数据溢出的漏洞,攻击了美链BEC的智能合约,成功地向两个地址转出了天量级别的BEC代币,引发抛售潮。据了解,黑客可以通过转账的手段生成合约中不存在的、巨量的Token并将其转入正常账户,并且账户中收到的Token可以正常地转入交易所进行交易,与真的Token无差别。

根据OKEx的数据显示,事件发生后BEC出现大瀑布,数据停止在2018年4月22日8点,价格为0.02USDT。而非小号数据显示已归零。

SMT出事后,OKEx也紧接着暂停了ERC20币种充值。

据PeckShield 团队发布的安全报告,黑客利用 in-the-wild 手段抓取以太坊 ERC-20 智能合约中的「BatchOverFlow」这个整数溢出漏洞来进行攻击。利用这个漏洞,黑客可以通过转账的手段生成合约中不存在的、巨量的 Token 并将其转入正常账户,账户中收到的 Token 可以正常地转入交易所进行交易,与真的 Token 无差别。

PeckShield 的安全预警报告中提到了该漏洞的具体细节,这个漏洞出现在ERC20智能合约的batchTransfer 函数当中,代码如下图所示。

随后 PeckShield 团队利用自动化系统扫遍了以太坊智能合约并对它们进行分析。结果发现,有超过 12 个 ERC-20智能合约都存在BatchOverFlow安全隐患。其中包括已经在交易所上进行交易币种。

PeckShield团队表示,出于安全考虑,暂时不能曝光这批项目的名称,但已与相关项目团队进行了联系。这里面可能就包括今天爆出的SMT项目。

Smartmesh项目是一个基于区块链的物联网底层协议,能让智能手机、智能设备等不通过互联网就可以相互连接的软件,smartmesh内置区块链轻节点,扩展闪电与雷电等区块链二级架构网络协议实现代币的无网微支付。

据其官网介绍,基于区块链代币的激励,smartmesh可以自组织形成一个具有弹性、去中心化、能够自我修复的mesh network,提供比互联网更高的近场速度和带宽,并且它通常是免费的。

目前已上线了4家交易所,分别是OKEX、CEX.COM、火币Pro、比特儿海外版。

就在刚刚,SMT官方微博发布公告,公布最新进展:

1、本次漏洞产生的Token增减、交易数据如下。

.由ETH智能合约漏洞生成的“假币”总数:65,133,050,195,990,400,000,000,000,000,000,000,000,000,000,000,000,000,000,000.891004451135422463

.由黑客地址转至交易所的“假币”总数:65,300,289

.在交易所交易的“假币”总数:16,638,887(待最终确认)

黑客地址转入交易所的假币中,未被交易的假币已全被交易所冻结。

2、生成并已经流通于交易所的“假币”,SmartMesh基金会称将拿出对等的SMT数量冻结及销毁,以弥补所造成的损失,保持SMT的总数在

3,141,592,653。

3、SmartMesh团队已与Huobi、Gate、OKEx、CEX等多家交易所沟通、协调重新开通SMT交易对交易的具体时间以及其他相关措施,并在努力确认相关事项处理完毕后重启SMT在各交易所充提币。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180426A0DQ5Y00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券