大量智能合约存在安全漏洞 是开发者粗心还是有意为之
大量智能合约存在安全漏洞 是开发者粗心还是有意为之
来源：36kr
核心提示区块链安全团队PeckShield也发现还有大量基于ERC-20的代币的智能合约代码中都存在该漏洞，很快火币、OKEx等交易所全面暂停了基于以太坊的ERC-20智能合约Token的充币、提现操作。
　　4 月 25 日上午一个名为 SMT 的代币突然被爆出有黑客利用智能合约的 proxyOverFlow 漏洞生成了巨额 Token，导致该 Token 的价格暴跌。
　　区块链安全团队 PeckShield 也发现还有大量基于 ERC-20 的代币的智能合约代码中都存在该漏洞，很快火币、OKEx 等交易所全面暂停了基于以太坊的 ERC-20 智能合约 Token 的充币、提现操作。
　　北京时间 2018 年的 4 月 25 日下午 9 点 17 分 50 秒，PechShield 再次侦测到了 MESH Token的异常交易（见下图）。在这次不同寻常的交易中，黑客给他自己转移了天量的 MESH 代币，其数量是 0x8fff,ffff,ffff,ffff,ffff,ffff,ffff,ffff,ffff,ffff,ffff,ffff,ffff,ffff,ffff,ffff ( 63 个 f），其交易手续费为：0x00,00,00,00,00,0001。
　　同样，在 SMT 代币上发生了如出一辙的异常交易。时间是北京时间的凌晨 3 点 16 分 19 秒。
　　PeckShield团队发现只能合约中的proxyTransfer() 函数存在着非常典型的整数溢出问题。
　　如上图，无论是 _feeSmt 还是 _value， 都是输入型参量，它们都是可以被攻击者所操控的。如果，这两个参量相加恰好变为 0（也就是溢出状态），那么在 206 行的合规性检查就完全被绕过去了。这也就意味着：攻击者可以将海量的代币，转移到这个地址（见 214 行），而无须花任何费用。同样，巨额的费用也会转移到 msg.sender（见 217 行）。
　　PeckShield团队对以太坊系统进行扫描检测后发现部分代币存在类似风险，不乏已经交易所上线的代币：
　　针对文中提到遭受黑客攻击的SMT，该团队已于昨天晚间发布处理办法：因为黑客已经在交易所进行交易，SmartMesh基金会将拿出对等数量的SMT进行销毁和冻结，使总量保持恒定不变。
　　国内某区块链项目方技术专家表示：但凡认真的审核一遍代码，就不会错过这个漏洞，要么是代码作者对该智能合约编写不了解，要么就是故意留下的漏洞。
责任编辑：韩希宇
后参与评论
暂无相关推荐一行代码蒸发64亿人民币
摘要：4月22日中午，有黑客利用以太坊 ERC-20智能合约中BatchOverFlow漏洞攻击BEC（美链的代币“美蜜”）智能合约，成功向两个地址转出了天量级别的 BEC代币，导致市场上海量BEC被抛售。此事使得当日BEC的价值几乎归零。64亿人民币瞬间蒸发。
一行代码造成的漏洞，蒸发了64亿元人民币。4月22日中午，有黑客利用以太坊 ERC-20智能合约中BatchOverFlow漏洞攻击BEC（美链的代币“美蜜”）智能合约，成功向两个地址转出了天量级别的 BEC代币，导致市场上海量BEC被抛售。此事使得当日BEC的价值几乎归零。64亿人民币瞬间蒸发。4月25日，仅仅三天后，另一个智能合约SmartMesh(SMT)曝出漏洞，交易所表示，因SMT出现异常交易，各交易平台暂停SMT的充提和交易。现实世界里，财物失窃尚能够通过立案侦查追回损失。但是在互联网的世界里，尽管数字货币“钱途”无量，一旦被黑却血本无归。011小时，币值跌94%智能合约，是指以数字形式定义的承诺,合约参与方可以在上面执行这些承诺的协议。简单来说，就是利用区块链的技术，大家共同约定，当一定条件被满足的情况下，可以被自动执行的合约。目前区块链最常用的智能合约平台是以太坊，谁都可以根据以太坊的ERC20标准分发代币(Token)。美链BEC于2018年2月在虚拟数字币交易平台OKEx上线，曾被业内认为是美图发行的数字货币，但美图否认了这点，只承认有合作。但因有此渊源，上线后，价格一度暴涨40倍。出现异常的4月22日，BEC当天最高价为2.27元，最低价0.137元，价格最高浮动率达94%。浙江台州的蒋先生进入币市5年，接触数字货币十余种。此次BEC合约漏洞被攻击，也是蒋先生第一次遭遇这类事情。4月22日中午，蒋先生以每个币0.32美元的价格入手了2000个BEC币（价值约4000人民币），没想到时隔不到一个小时，币价跌近0元。据《IT时报》记者了解，这是基于ERC20标准的代币首次出现智能合约漏洞，而造成如此大损失的原因仅仅是程序编写者自身不严谨，调用函数时一行非常简单的代码写错所致。从事区块链安全防护的众享比特市场总监陈鸿刚告诉记者，在智能合约中，设计者一般会在代码中插入一笔转账函数，这个函数应当保证转出的账目小于等于钱包中原有账目。但是此次BEC出现的漏洞，使转账者在设计一笔特大转账数额时，函数计算结果为0，这就导致黑客可以向自己的钱包中转入任意巨额的数字货币。02智能合约不安全？针对此次攻击，OKEx官方网站表示，将采取发行另一种新币的对策，对原有BEC按照一比一比例兑换，用户账户状态将依照被攻击前的网站映射进行还原，原有合约永久废除。“就像你的车子坏了，厂家根据原来的汽车配置给你造一辆新车。”陈鸿刚颇为形象地比喻。据腾讯玄武实验室的信息安全人员宋凯透露，其实很多虚拟货币交易在过程中都出现过安全问题，事后的解决方案大多是回滚，也就是将交易数据回溯到攻击之前的状态。这样的补救措施只能使用户账户中拥有同样数量的新币，但因为攻击导致BEC币价大跌，事实上，用户并没能真正挽回损失。此事发生后不久，PeckShield团队利用自动化系统扫遍了以太坊上诸多智能合约并对它们进行分析。结果发现，有超过12个ERC-20智能合约都存在BatchOverFlow安全隐患。4月25日，OKEx官微发出“关于暂停SMT交易和提现的公告”，指出当日4时左右，SMT出现异常交易。截至发稿，平台尚未给出异常交易的具体情况。03根源：“天下代码一大抄”之所以如此多的智能合约出现同类漏洞，其背后是混乱的数字代币发行现状。尽管国内早已严格禁止ICO（数字货币发行），但这反而让一些“有心人”在国外找到了躲避监管的方式，而通过智能合约发行代币的代价，已经低之又低。一位从事区块链技术的创业者告诉《IT时报》记者，一个程序员只要花5分钟，从网上抄一些智能合约代码，稍做修改，就可以发行一个代币。如果再写个白皮书，找几个知名顾问站台，就可以在数字货币交易所里发行几千万甚至上亿的项目。由于这些数字货币交易所注册在海外，国内很难对其进行监管，因此显而易见的是，上交易所发行代币变得越来越容易，以往对发币团队相对严格的审核，现在都被有意无意地忽略了。既没有交易所的监管，又抱着“一夜暴富”的期待，这些发币团队的技术实力、对安全的防范意识，自然很难得到保证。陈鸿刚认为，好的代码应当经过非常严格的测试，倘若投资者无从判断代币发行团队的水平，就要尽可能选择相对主流的币，或者经过一段时间市场考验的币来进行投资。但是在数字货币的世界里，各种漏洞都潜伏其中，投资者需要做好漏洞随时暴露的心理准备，同时，平台自身的资质，也是投资者需要仔细考虑的重要因素。
您必须才能发表留言！
互联网科技公司“奇思客”获千万美元级A轮融资
企业股权方案提供商“荒草地股权VC”获800万天使轮融资
程序化邮件直投服务平台“PebblePost”获1500万美元B轮融资
科技初创企业“LeoLabs”获400万美元种子轮融资
室内地图和定位平台“LocusLabs”获350万美元A轮融资
为企业提供钟点工管理软件企业“WorkJam”获1200万美元B轮融资
服装租赁平台“多啦衣梦”获1200万美元A+轮融资
共享单车服务品牌“永安行”获数亿元A轮融资
会议活动平台“31会议”获4000万元A+轮融资
房地产综合门户及营销平台“楼盘网”获千万元Pre-A轮融资
共享单车平台“百拜单车”获A轮融资
共享单车平台“ofo”获4.5亿美元D轮融资
免费资讯服务平台“奖金网”获2亿元人民币B轮融资
居家上门服务品牌“泰笛科技”获1.5亿元C轮融资
提供会议语音助手服务企业“Workfit”获550万美元种子轮融资
印度公寓租赁服务平台“StayAbode”获天使轮融资
超融合基础设施初创公司“Diamanti”获1800万美元B轮融资
B2B物流公司“ BlackBuck”获3000万美元C轮融资
广告恢复平台初创公司“Uponit”获230万美元种子轮融资
在线运输及货运交易平台“uShip”获2500万美元D轮融资
仓库业务代运营服务商“鲸仓科技”获6800万元A轮融资
智能腕带品牌“GYENNO One”获数千万A轮融资
人力资源运营移动APP“职行力”获数千万元Pre-A轮融资
O2O汽车保养平台“车发发”获1亿元A轮融资
可视化软件平台“优锘科技”获7200万A轮融资
本地化生鲜品质电商“原谷生鲜”获百万元天使轮融资
地产中介平台“我爱我家”被昆百大65亿元收购
开源代码解决方案企业“Fossa”获220万美元种子轮融资
在线金融借贷平台“SoFi”获5亿美元战略融资
云通讯服务平台“Layer”获1500万美元B轮融资智能合约频出漏洞，一行代码蒸发64亿人民币-钛媒体官方网站坦白讲，我是个小白，也就是各大黑客和安全厂商所说的目标..
昨晚黑锅在微博上发了老外爆的Nginx漏洞，开始并没几个人..
​小八卦下黑产这几天收到一些朋友的留言说希望能科..
软件，教程，电子书最近更新
友情链接申请标准：首页PR>=4、alexa排名10万以内　联系Email：漏洞预警 | SMT智能合约整型溢出漏洞
SmartMesh Token是基于Ethereum的合约代币，简称SMT。Ethereum是一个开源的、公共的分布式计算平台，SmartMesh代币合约SmartMeshTokenContract基于ERC20Token标准。漏洞发生在转账操作中，攻击者可以在无实际支出的情况下获得大额转账。
不久前，BEC美蜜遭遇黑客的毁灭性攻击，天量BEC从两个地址转出，引发了市场抛售潮。当日，BEC的价值几乎归零。
4月25日早间，火币Pro公告，SMT项目方反馈今日凌晨发现其交易存在异常问题，经初步排查，SMT的以太坊智能合约存在漏洞。受此影响，火币Pro现决定暂停所有币种的充提币业务。
截至目前，OKEx已经暂停使用ERC-20 token的取款交易。
漏洞来源自合约机制中的整数溢出漏洞。在出现问题的交易记录中，交易金额和交易手续费用异常庞大。
而在执行转账操作的proxyTransfer()函数中，_fee与_value参数（分别代表转账费用和转账金额）可以由攻击者控制，如果二者相加数额为0，第206行的校验机制就不再生效。根据proxyTransfer()函数中定义的数据类型，_fee与_value参数都为uint256类型，如果设置过大数值导致二者相加后整型溢出，转帐方实际损失的费用就为0，并且能够收取巨额资金。
根据PeckShield 团队的报告，目前已有多笔交易利用漏洞产生巨额资金：
*参考来源：挖链网 & 新浪， 部分图片、分析来自永信至诚Ar（先进研究）实验室，本文作者：Sphinx，转载请注明来自FreeBuf
责任编辑：
声明：本文由入驻搜狐号的作者撰写，除搜狐官方账号外，观点仅代表作者本人，不代表搜狐立场。
今日搜狐热点