1. 聚能聊>
  2. 话题详情

一行代码蒸发64亿,智能合约不安全?

4月22日中午,有黑客利用以太坊 ERC-20智能合约中BatchOverFlow漏洞攻击BEC(美链的代币“美蜜”)智能合约,成功向两个地址转出了天量级别的 BEC代币,导致市场上海量BEC被抛售。此事使得当日BEC的价值几乎归零。64亿人民币瞬间蒸发。

4月25日,仅仅三天后,另一个智能合约SmartMesh(SMT)曝出漏洞,交易所表示,因SMT出现异常交易,各交易平台暂停SMT的充提和交易。

现实世界里,财物失窃尚能够通过立案侦查追回损失。但是在互联网的世界里,尽管数字货币“钱途”无量,一旦被黑却血本无归。

智能合约,是指以数字形式定义的承诺,合约参与方可以在上面执行这些承诺的协议。简单来说,就是利用区块链的技术,大家共同约定,当一定条件被满足的情况下,可以被自动执行的合约。目前区块链最常用的智能合约平台是以太坊,谁都可以根据以太坊的ERC20标准分发代币(Token)。

image

美链BEC于2018年2月在虚拟数字币交易平台OKEx上线,曾被业内认为是美图发行的数字货币,但美图否认了这点,只承认有合作。但因有此渊源,上线后,价格一度暴涨40倍。出现异常的4月22日,BEC当天最高价为2.27元,最低价0.137元,价格最高浮动率达94%。

浙江台州的蒋先生进入币市5年,接触数字货币十余种。此次BEC合约漏洞被攻击,也是蒋先生第一次遭遇这类事情。4月22日中午,蒋先生以每个币0.32美元的价格入手了2000个BEC币(价值约4000人民币),没想到时隔不到一个小时,币价跌近0元。

据《IT时报》记者了解,这是基于ERC20标准的代币首次出现智能合约漏洞,而造成如此大损失的原因仅仅是程序编写者自身不严谨,调用函数时一行非常简单的代码写错所致。

从事区块链安全防护的众享比特市场总监陈鸿刚告诉记者,在智能合约中,设计者一般会在代码中插入一笔转账函数,这个函数应当保证转出的账目小于等于钱包中原有账目。但是此次BEC出现的漏洞,使转账者在设计一笔特大转账数额时,函数计算结果为0,这就导致黑客可以向自己的钱包中转入任意巨额的数字货币。

image

据悉,其实很多虚拟货币交易在过程中都出现过安全问题,事后的解决方案大多是回滚,也就是将交易数据回溯到攻击之前的状态。这样的补救措施只能使用户账户中拥有同样数量的新币,但因为攻击导致BEC币价大跌,事实上,用户并没能真正挽回损失。

此事发生后不久,PeckShield团队利用自动化系统扫遍了以太坊上诸多智能合约并对它们进行分析。结果发现,有超过12个ERC-20智能合约都存在BatchOverFlow安全隐患。

之所以如此多的智能合约出现同类漏洞,其背后是混乱的数字代币发行现状。

一位从事区块链技术的创业者告诉《IT时报》记者,一个程序员只要花5分钟,从网上抄一些智能合约代码,稍做修改,就可以发行一个代币。如果再写个白皮书,找几个知名顾问站台,就可以在数字货币交易所里发行几千万甚至上亿的项目。

那么问题来了~:
1、你有参与过买卖数字代币吗?对数字代币的未来怎么看?

2、ERC-20智能合约出现这样的漏洞,对其他数字代币会有什么样的影响?

3、发行数字代币的技术成本如此之低,是否是导致数字货币乱象的根本原因?

4、除了数字币以外,智能合约漏洞的出现会不会影响到其他区块链项目的发展?为什么?

参与话题

奖品区域 活动规则 已 结束

  • 奖品一

    阿里云代金券 x 1

  • 奖品二

    手机话费 x 3

  • 奖品三

    定制保温杯 x 1

36个回答

1

微wx笑 已获得手机话费 复制链接去分享

1、你有参与过买卖数字代币吗?对数字代币的未来怎么看?
没有,数字代币将来应该属于国家层面的,法治化。
现在的数字代币没有任何法律保障。

2、ERC-20智能合约出现这样的漏洞,对其他数字代币会有什么样的影响?
影响肯定有啊,区块链也不是绝对的安全,让大家更理智的去看待吧。

3、发行数字代币的技术成本如此之低,是否是导致数字货币乱象的根本原因?
成本如此之低不是根本原因吧,原因是疯狂敛财,一夜暴富的梦吧!

4、除了数字币以外,智能合约漏洞的出现会不会影响到其他区块链项目的发展?为什么?
智能合约是区块链技术的特性之一,所以肯定有影响。
建立信任可能需要十年,而反之可能只需要一天甚至更短。

微wx笑 回复

怪了,我只发了一次,怎么出来两条!

评论
1

嘉德game 已获得手机话费 复制链接去分享

1、你有参与过买卖数字代币吗?对数字代币的未来怎么看?
没有,虽然比特币最近很火。 和通用的货币相比,货币是国家发行的,肯定的更有保障。目前购买数字代币的主要目的可能还是在炒作,低买高卖赚差价,就如同炒股一样,有收益必定有风险。 未来的数字代币,可能会由国家等可信任的单位来发行,有明确的权责主体,有明确的信用体系,风险体系等,就和股票类似。
2、ERC-20智能合约出现这样的漏洞,对其他数字代币会有什么样的影响?
最大的问题就是不信任,很多人会开始担心自己持有数字代币,会不会也存在这样的漏洞与隐患,担心越来越多的代币会遭到黑客攻击。
3、发行数字代币的技术成本如此之低,是否是导致数字货币乱象的根本原因?
发行技术成本低,导致很多存在安全漏洞的代币得以发行,数字货币乱象最重要的问题是缺乏监管,缺乏监管的地方,一定会出现乱象。
4、除了数字币以外,智能合约漏洞的出现会不会影响到其他区块链项目的发展?为什么?
我觉得可能不会有太大的影响,因为区块链是存储的数据多副本,区块间相互印证的存储技术,解决的是信任问题。智能合约是通过区块链技术实现的,智能合约有问题,不代表区块链有问题,就像用java开发了一个应用存在bug,不代表java是有问题的,也不会影响其他人用java开发应用。

0

海阔天空yy 已获得手机话费 复制链接去分享

1、你有参与过买卖数字代币吗?对数字代币的未来怎么看?
没参与过,数字代币,就怕是不以真实货币为基础,想发多少就发多少,最后变得不可控制
另外安全性也是个大问题

2、ERC-20智能合约出现这样的漏洞,对其他数字代币会有什么样的影响?
安全性上面的一个警告吧,只要是放在互联网上的东西,就难说绝对的安全

3、发行数字代币的技术成本如此之低,是否是导致数字货币乱象的根本原因?
是一个方面,另外也显示出了安全性的得要性,要想做好数字货币,必须要考虑好这点再做

4、除了数字币以外,智能合约漏洞的出现会不会影响到其他区块链项目的发展?为什么?
感觉应该不会,只支促进区块链项目的改进,
有一句话说得好,程序不怕测出BUG,就怕发现不了BUG
发现了BUG及时修正,系统才会越来越健壮..

0

aoteman675 已获得定制保温杯 复制链接去分享

1、你有参与过买卖数字代币吗?对数字代币的未来怎么看?
这个东西是需要巨大的财力去操控的,就像股票一样。数字代币国家层面不认可,这种地下生产交易的行为,风险极大。完全没有一个交易的授权认证机制。就国内而言,数字代币发展举步维艰,国际上有些国家承认数字代币的交易和生产,所以数字代币需要认可才能在某一个国家或地区发行和许可,才可以持续发展数字代币经济。
2、ERC-20智能合约出现这样的漏洞,对其他数字代币会有什么样的影响?
其它数字代币就会审查智能合约代码,测试和修复漏洞。当然会给其它智能合约一个警钟,不断完善代码和系统架构。也会让投资者谨慎,投资较大的数字代币机构,减少风险。
3、发行数字代币的技术成本如此之低,是否是导致数字货币乱象的根本原因?
监管机构不认可,技术成本低,乱上加乱。没有统一的组织机构或者联盟去制定一个标准,所以各自为政,风险无法预估。
4、除了数字币以外,智能合约漏洞的出现会不会影响到其他区块链项目的发展?为什么?
并不会,这个漏洞是你应用智能合约的时候漏写代码,而不是智能合约本身的漏洞。区块链项目本身就是一套很完整的代码和去中心合约,经过比特币的实践,漏洞都被修复了。智能合约只是区块链项目的一个分支,所以并不会产生影响。智能合约就像一个操作文档,怎么运用都写给你了,但是漏了几条代码就是工程师问题了,这也不能怪智能合约本身的漏洞问题吧。比如支付宝接口,自己写支付APP用了接口,然后没有安装规范,代码有bug,产生了损失,也不能怪支付宝接口问题吧。

0

沙漠的热情 已获得阿里云代金券 复制链接去分享

1、你有参与过买卖数字代币吗?对数字代币的未来怎么看?
没有,疑惑数字代币的价值到底从何体现,总要做点什么对世界有益的事以彰显价值吧!

2、ERC-20智能合约出现这样的漏洞,对其他数字代币会有什么样的影响?
也是警示,为其敲了警钟。

3、发行数字代币的技术成本如此之低,是否是导致数字货币乱象的根本原因?
技术成本低、人性多贪婪、监管不健全,不乱才怪!

4、除了数字币以外,智能合约漏洞的出现会不会影响到其他区块链项目的发展?为什么?
应该不太会吧。不能因噎废食啊,风险总是有的,做好各方面的安全工作喽!

1

1677024361823627 复制链接去分享

毕竟是虚拟的哦!

0

1179803645910567 复制链接去分享

虚拟的也关系钱,如果不安全,谁会去用呢

0

1504924504079539 复制链接去分享

之前购买了狗狗币

0

1182826127391637 复制链接去分享

不准

0

vision丶浩 复制链接去分享

有那么一个可能,数据也分行业

0

1996318572413643 复制链接去分享

可怕

0

1459325647172715 复制链接去分享

我看都是祸该。

0

1837625653275017 复制链接去分享

24H监视,加强智能防护。

0

1943021546717154 复制链接去分享

关注,虽然我不懂代码

0

keller.zhou 复制链接去分享

数字货币作为一个全新的领域,需要国家政策监管使之在正确的道路上持续发展。由于数字货币对实体经济的服务较少,为防止洗黑钱等不法行为的产生,确保金融稳定,我国在处理数字货币这一问题上保持谨慎态度。

虽然如此但我们一样可以布局有价值的币;我们心态要摆正。而且需要对数字货币有信仰,数字货币是大势所趋,未来纸币硬币可能不存在,其实简单来说,数字货币3年内完全没有问题。

0

laraveek 复制链接去分享

没有漏洞的系统是不存在的

0

1986225509751219 复制链接去分享

社会在发展,一切皆有可能,随缘,随缘,随缘吧

0

1408525506311788 复制链接去分享

网易星球的发展方向?

0

远路空城 复制链接去分享

99999999999999

0

1871025422135041 复制链接去分享

我就想要个保温杯,能不能送我一个

2