学习
实践
活动
工具
TVP
写文章

以太坊ERC-20智能合约被爆存在漏洞!你的币很快就不值钱了!

四月的币圈和链圈都不太平,

先是4月15日,

西安破获全国首例区块链传销案

然后4月23日,EOS众筹账户第四次大量转出约47万个ETH,众人纷纷猜测被提出的以太坊的具体用途;

紧接着在4月24日晚,以太坊网页钱包Myetherwallet遭受DNS劫持攻击,众多用户资产被盗……

似乎是发觉区块链的熊熊大火正以星星之火可以燎原之势席卷全球,上天及时浇了一盆冷水,让大家可以冷静下来思考,殊不知一盆水浇不灭投资者“趋之若鹜”的热情。

4月22日,有黑客利用以太坊ERC-20智能合约漏洞,攻击美图合作的美链BEC,导致市场上海量BEC被抛售,货币价值几乎归零;

4月25日,一家巴西加密交易所Foxbit被专家爆出存在安全问题,黑客可以更改用户2FA设置轻易转移用户财产;

4月25日,代币SMT发现与被爆出的BEC代币类似的安全漏洞,可以利用溢出攻击获得大量代币。

同样是4月25日,多达十几个以太坊ERC-20智能合约被发现存在漏洞,攻击者可以利用该漏洞生成无数令牌,创建尽可能多的代币,从而实现价格操纵。

被检测到的可疑代币包括MESH、UGToken、SMART、MTC、FirstCoin、GGToken、CNY Token、CNTTokenPlus等。

自从发现以太坊的ERC-20智能合约存在漏洞之后,各大平台纷纷展开调查。

Bittrex发布公告称,通过调查并没有发现平台上列出的ERC-20令牌易受到攻击,敬告用户可以正常活动,该平台的ERC-20令牌交易不会因此问题而中断。

4月25日凌晨,SmartMesh项目方反馈发现交易存在异常,经过初步排查,基本确定SMT的以太坊智能合约存在一定漏洞。

同期,火币Pro检测到TXID的异常。

受此影响,火币Pro当即决定暂停所有币种的充提币业务,以防造成更大不良后果。

直至中午时分,火币全球专业站宣布关于恢复ERC-20币种充提币的公告,用户可以进行交易。

随后,包括OKEx、BCEX、Bibox等在内的多家交易平台纷纷表示,为了不给项目方和交易所造成安全隐患,同时为了广大用户的利益,决定在排除安全隐患之前,暂停所有ERC-20 Tokens充值功能,待安全隐患消除之后逐步开放充值。

LBank在宣布暂停相关业务的同时,还公布了13个尚待安全确认的币种如下,IHT、BSB、CPU、DDD、EAI、MAN、GNX、INC、CHAT、YOYOW、TGC、EOS、SEER。

与此同时,多项基于以太坊发行的ERC-20Token纷纷自测,检查是否存在安全问题。

NULS官微发表公告称,经过核心团队的反复测试,NULS采用的是标准ERC-20代码,且已经做过溢出测试,不存在相关问题,提醒投资者可以进行正常的充提交易等操作。

数小时之后,ZB平台率先发布关于逐步开放问题币种充值及交易的公告,具体内容如下:

4月25日晚23时,HitBTC官方宣布恢复ERC-20代币充值。

4月25日晚21时,率先发现此问题的SmartMesh项目发布关于“以太坊智能合约溢出漏洞事件”的公告,且公布了最新进展。

说明本次由于ETH智能合约漏洞生成的假币总数共

65,133,050,195,990,400,000,000,000,000,000,000,000,000,000,000,000,000,000,000.891004451135422463个(各位无需费心数了,前线君也没有数明白),

由黑客地址转移至交易所的SMT共65,300,289枚,其中已交易的Token数为16,638,887个,剩余未经交易的代币已全被冻结。

针对此次已经在交易所流通的假币的解决方法,项目方解释道,SmartMesh基金会将会拿出对等的SMT数量进行冻结销毁,以此弥补漏洞造成的损失,保持SMT总数不变。

不知是否为此次安全事件的恶劣影响,前线君在coinmarketcap上查证,以比特币为首的各大数字货币中,价格在24小时之内上涨的仅有一支,其他币种各有不同幅度的下跌。

值得玩味的是,在以太坊出现多个ERC-20智能合约溢出错误的时候,BM在twitter上发表质疑称,新的ETH合约Bug有可能会破坏整个Token的市场供应,让持有者留下无价值的代币,这就是“代码即法律”不合理的原因。

随即,BM还表示EOS的ERC合约不易受到此类攻击。至于官方群中有人问到,EOS是否具有整数溢出保护?BM做出回应,有很多C ++模板类可以封装类型并检查溢出,让用户放心。

可能有人会问,智能合约是否能够实现?

区块链去中心化的应用程序通常就是DApp,它是由智能合约和后端代码所构成。

而在DApp中,所有的服务和逻辑都在区块链上运行,这就意味着DApp不仅需要设计好前端应用,还要开发基于以太坊的智能合约代码。

这些代码被应用程序调用,而智能合约就可以保证操作被广播到所有节点,最后通过生成的区块将运行过程和结果打包,最终实现全网统一。

换句话来讲,想要实现无漏洞的智能合约,开发步骤是关键。

前线君想说,实际上以太坊也在不断进步中,想要开发出一个系统完善的智能合约,还需要时间磨砺。

作为用户,我们不可操之过急,一切就留给市场来检验。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180426A1SP2300?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码关注腾讯云开发者

领取腾讯云代金券