EDU、BAI被曝智能合约漏洞，用户损失谁担责？

摘要：社区对SMT、BEC的智能合约漏洞还心有余悸，近日，智能合约安全问题再次上演， EDU、BAI智能合约也被曝存在重大漏洞。

据慢雾区披露，EDU和BAI智能合约出现同样重大漏洞，可转走任一账户的EDU、BAI Token。

具体分析如下：在 transferFrom 函数中，未校验 allowed[_from][msg.sender] >= _value 并且函数内 allowed[_from][msg.sender] -= _value; 没有使用 SafeMath，导致无法抛出异常并回滚交易。

据区块链安全团队PeckShield 称，黑客早在5月20日就开始发动了对EDU的攻击，当天完成了 4 笔交易，第一笔交易是利用 Allow 函数的漏洞从项目方的地址中偷走了 30 亿枚 EDU Token，随后利用三次交易将 Token 进行了转手。

智能合约漏洞频出

漏洞发现时已存在大量洗劫行为，攻击者不需私钥即可转走账户中的 EDU。而由于合约没有 Pause 设计，导致无法止损。

此前，EDU只在一家交易平台火币Pro进行交易，于昨日发现合约漏洞问题后，火币Pro随即暂停了EDU相关交易对。根据非小号（feixiaohao.com）数据，5月20日凌晨起出现的抛售现象一直持续到停止交易。

祸不单行，昨日上午，BAI 智能合约也被发现存在和 EDU 类似漏洞，可转走任意账户里的 BAI Token，同样存在大量洗劫行为。根据非小号（feixiaohao.com）数据，BAI已经上线三家交易平台CoinTiger、KKCoin、OTCBTC，24小时价格下跌45%，目前为0.0145元。

两项目团队随即发布公告分析了此次攻击事件，并提供了类似的解决方案：

将新发代币对智能合约进行升级，对异常账户出现前的资产地址进行快照，智能合约升级后根据快照按比例空投至原有代币地址。原代币将作废。

牵一发而动全身，用户损失谁背锅？

不过，智能合约漏洞造成的影响远不止单个项目投资者受损。据自媒体“区块律动”分析，从5月20日午夜开始，黑客利用无法提币的现货将比特币砸到7400美元，并在其他交易所做空比特币，成功“收割”期货和现货。

大量投资者遭受损失，除了项目团队对安全问题的忽视，上线相关代币的交易平台更是责无旁贷。火币Pro昨日下午发布公告称，“正在对火币平台上的ERC20智能合约代码进行复审；同时，为了进一步加强安全防范，火币Pro决定联合全球知名的网络安全机构知道创宇，慢雾科技等公司对火币Pro已经上线的智能合约项目进行代码复审。未来，申请上线火币的项目方，需要提供火币认可的安全机构做出的审计报告。”

今年以来，多个基于ERC20的智能合约被曝存在安全漏洞，除了已经造成巨大影响的BEC、SMT、EDU、BAI，尚有多个存在安全隐患的智能合约代币依然在交易平台交易。

截止目前，EDU智能合约漏洞是否会像4月份出现的BatchOverFlow漏洞一样广泛存在于其他众多ERC20项目中还尚未可知，小闻君也将随时关注事件进展并及时告知广大用户。

以太坊运行时间还不到3年，便已陆续爆出多项安全漏洞。目前已知存在Solidity漏洞、短地址漏洞、交易顺序依赖、时间戳依赖、可重入攻击等漏洞，在调用合约时漏洞可能被利用，而智能合约部署后难以更新的特性也让漏洞的影响危害性更持久。

由于以太坊智能合约设计原理，为保持代币一致性，已发代币的智能合约极难修改，因此在设计之初一旦有安全隐患未被发现，后续无法修正，后患无穷。

小闻君提醒：项目方应做好自查，必要时请外部公司进行审计，交易平台应做好对项目方的审核工作和自身安全防护，投资者亦应注意风险。

本文仅代表作者个人观点，不代表币闻资讯的立场，不构成任何投资建议，内容仅供参考。综合整理自网络，侵删。