十多种ERC20代币爆低级漏洞,多家交易所被迫暂停充提交易

据coindesk报道,多达十几个基于ERC-20智能合约的区块链项目被发现含有漏洞,让攻击者可以根据需要创建天量代币。

事件导火索

4月22日中午,黑客利用以太坊 ERC-20 智能合约中 BatchOverFlow 漏洞中数据溢出的漏洞,攻击蔡文胜旗下美图合作的公司美链 BEC 的智能合约,成功地向两个地址转出了天量级别的 BEC 代币,导致市场上海量BEC被抛售,该数字货币价值几近归零,给 BEC 市场交易带来了毁灭性打击。

4月25日上午,加密货币SMT项目方反馈今日凌晨发现其交易存在异常问题,经初步排查,SMT的以太坊智能合约存在与美链BEC代币类似的安全漏洞。

安全团队发布调查报告

美国时间2014年4月24日下午1点17分50秒,区块链安全初创公司PeckShield利用自动化系统扫描以太坊智能合约并分析,检测到同样存在安全隐患的代币有MESH、UGToken、SMT、SMART、MTC、FirstCoin、GGToken、CNY Token、CNTTokenPlus。

据PeckShield 团队发布的安全报告,黑客抓取以太坊 ERC-20 智能合约中的「BatchOverFlow」这个整数溢出漏洞来进行攻击。利用这个漏洞,黑客可以通过转账的手段生成合约中不存在的、巨量的 Token 并将其转入正常账户,账户中收到的 Token 可以正常地转入交易所进行交易,与真的 Token 无差别。这个漏洞出现在ERC20智能合约的batchTransfer 函数当中,代码如下图所示。

交易所的应对措施

受该事件影响,一些交易所暂停ERC- 20代币交易及存提服务,包括OKEx、Poloniex、Changelly、Quoine和HitBTC交易所。

OKEx4月24日发布公告,它被迫回滚BeautyChain代币交易的记录。鉴于该漏洞,由于“异常交易活动” ,该交易所暂停了存款并撤回名为SmartMesh交易记录 。4月25号发布公告,暂停所有ERC-20 代币充值。

Huobi.Pro在4月25日宣布它已经暂停了所有的代币交易,但是此后仅限于基于ERC-20的代币。截至小编发稿时,Poloniex已经开始为ERC-20代币恢复服务。

项目方的应对措施

BeautyChain和SmartMesh项目的代表并未立即回应置评请求。然而,BeautyChain网站上的一份声明承认这个错误, 并表示交易将在未来的一个不确定的时刻恢复。

同时,此次漏洞受影响的SMT在官方微博发布公告,公布最新进展: 1.本次漏洞产生的Token增减、交易数据如下。 ①.由ETH智能合约漏洞生成的“假币”总数:65,133,050,195,990,400,000,000,000,000,000,000,000,000,000,000,000,000,000,000.891004451135422463 ②.由黑客地址转至交易所的“假币”总数:65,300,289 ③.在交易所交易的“假币”总数:16,638,887(待最终确认) 黑客地址转入交易所的假币中,未被交易的假币已全被交易所冻结。 2.生成并已经流通于交易所的“假币”,SmartMesh基金会称将拿出对等的SMT数量冻结及销毁,以弥补所造成的损失,保持SMT的总数在3,141,592,653。 3.SmartMesh团队已与Huobi、Gate、OKEx、CEX等多家交易所沟通、协调重新开通SMT交易对交易的具体时间以及其他相关措施,并在努力确认相关事项处理完毕后重启SMT在各交易所充提币。

专家点评

首先提出ERC-20标准的开发者Fabian Vogelsteller告诉CoinDesk,这些错误“只是表明我们需要更好的最佳实践和工具来检测这些错误。”

YEE创始人、前百度移动安全总经理张磊及其团队认为,此次SMT发生的安全问题,和此前BEC发生的安全问题系出同源。张磊还表示,该问题虽影响巨大,但解决起来很简单,不会对行业造成太大影响。

腾讯区块链技术专家屠海涛认为,这类安全问题只要交易所及时停止充提,影响就很小,只是个别币种受影响。

公众号数字货币趋势狂人发文提醒:懂技术的人都知道,关于这个漏洞的水平非常低级,只是技术上最初级的问题,由此可见,出现这种问题的团队技术相对较差,再说明白点就是没什么投资价值。为什么会出现同样的低级错误呢,结果显而易见,因为彼此的代码都是通过抄袭得来的,这样的币和空气币其实也没有什么区别,只不过是通过多一层包装解决了一些开源或者普通投资者关心的事情罢了,区块链的世界本身就是一个新生事物,大家对于如何判断代码抄袭或者空气币的门槛比较高,所以对于山寨币的投机,应该谨慎再谨慎,虽然伴随着百倍甚至千倍的收益,但归零风险实在是太高了。(讽刺的是,SMT刚刚入选硅谷IT杂志十大区块链技术排行榜)

防止失联,请加小编微信

拉你进币圈资讯交流群

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180426G1JM6300?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券