距BEC現重大漏洞幾近歸零僅時隔三天, 智能合約再曝安全性漏洞。
今早, SMT遭到與BEC類似溢出攻擊,
SMT於此前已經登陸多家交易平臺,
隨後, 火幣Pro又發佈公告稱暫停SMT/USDT、SMT/BTC和SMT/ETH的交易。 此外, OKEx, gate.io等交易平臺也已經暫停了SMT的充提和交易。 截止暫停交易, SMT在火幣Pro的價格下跌近20%。
據區塊鏈安全公司 PeckShield 分析, SMT的智慧合約中proxyTransfer 函數存在一個經典的整數溢出問題。 _fee 和 _value_ 這兩個輸入參數都能被攻擊者控制, 如果 _fee + _value 的結果正好為 0(也就是溢出的情況), 第206行的檢查將會失效。
這意味著攻擊者不需要任何Token, 就可以向一個位址轉入大量的Token(第214行);同時根據第217行的代碼, 相當數量的手續費也將發送給 msg.sender
由乙太坊智慧合約的溢出漏洞引發的安全事件並不是第一次, 距上次發生此類嚴重漏洞才過去了短短3天。
4月22日, BEC出現異常交易, 據分析, BEC 智慧合約中的 batchTransfer 批量轉帳函數存在漏洞, 攻擊者可傳入很大的 value 數值, 使 cnt * value 後超過 unit256 的最大值使其溢出導致 amount 變為 0。
簡單來說, BEC的某一段代碼忘記使用safeMath方法, 導致系統產生了整數溢出漏洞, 利用該漏洞, 駭客可以通過轉帳手段生成大量原本合約中不存在的代幣, 並將這些“無中生有”的代幣在市場進行拋售。
由於駭客轉出的代幣數量遠遠超過BEC發行數量70億枚, 加之由此引發的恐慌拋售, BEC市值瞬間幾乎歸零。 OKEx隨後發佈公告, 暫停BEC交易和提現。 美鏈團隊方面也發佈公告稱系統即將回滾。
多個ERC20智慧合約受影響“最近的 ERC20 的轉帳的安全問題, 直接原因都是代碼安全性漏洞, 由程式師背鍋, 但大家比較少討論其深層次的原因,
因此, 他強調, 重要的 token 資產不適合構建在 ERC20體系基礎之上。
出問題的只是BEC和SMT嗎?問題可能比想像的嚴重得多。 區塊鏈安全公司 PeckShield發出預警稱, 多個ERC20智慧合約遭受proxyOverflow漏洞影響, 其檢測定位到大量的ERC20 Token都受此影響, 包括:
通過乙太坊智慧合約“發幣”容易,若不做好嚴格的代碼審計和安全防護,億級資金的損失只在一瞬間。巴比特特此提醒,項目方應做好自查,必要時請外部公司進行審計,交易平臺應做好對專案方的審核工作和自身安全防護,投資者亦應注意風險。
發文時比特幣價格 ¥59355.35
通過乙太坊智慧合約“發幣”容易,若不做好嚴格的代碼審計和安全防護,億級資金的損失只在一瞬間。巴比特特此提醒,項目方應做好自查,必要時請外部公司進行審計,交易平臺應做好對專案方的審核工作和自身安全防護,投資者亦應注意風險。
發文時比特幣價格 ¥59355.35