www.haob.cc

智能合约被曝安全漏洞,交易所纷纷暂停ERC20代币充值

  以太坊的智能合约一直不断出现漏洞。今天交易所Okex、Poloniex、Coinone和Hitbtc都暂停了ERC20代币的充值服务,原因是存有大量代币的智能合约被发现写入了batch overflow漏洞。该新闻出来后,以太坊社区投票反对恢复去年因智能合约被锁定而丢失的以太坊。

  以太坊代币VS烦人的漏洞

  创建一个可以免疫漏洞的代币比听上去的要难得多。月初,有研究员称已经发现34000份以太坊智能合约容易出现漏洞,本周有一篇博客重点描述一个漏洞:可以影响ERC20智能合约BatchOverFlow漏洞。这个漏洞很严重,Okex已经宣布暂停ERC20代币充值服务。

  “因发现智能合约出现“BATCHOVERFLOW”漏洞,我们将暂停所有ERC20代币充值服务。攻击者利用这个漏洞可以产生大量代币并将其转入正常地址。这会导致很多ERC20代币的价格容易被攻击者操纵。”

  Okex补充说:“为了保护广大用户的利益,我们已经决定在漏洞修复之前暂停所有ERC20代币的充值服务。我们已联系所有已上线项目方自行排查以消除隐患。”其他很多交易所也纷纷效法。

  SMT智能合约明显存在漏洞。

  消除漏洞是一场永无止尽的战斗

  对于在以太坊协议上搭建的项目以及现有的代币来说,攻击者可以窃取、冻结、复制ERC20代币简直就是个噩梦,这些项目的团队现在仔细审查代码查找漏洞。Smartmesh (SMT)就是其中一种受感染的代币,这是一个可在火币、Gate.io、Hitbtc和Okex上交易的ERC20代币。其智能合约明显出现了漏洞,代币的余额和代币的价值已经超过了30位数。在过去24小时,数以百亿计的SMT从Smartmesh智能合约上被转移。

  这篇在4月20日发表关于batchoverflow的博客还识别出Beautychain (BEC)代币也存在同样的漏洞。作者写道:“我们进一步运行系统扫描和分析其他合约。我们的结果显示,超过12个ERC20代币容易受到batchoverflow的攻击。为了展示,我们已经成功与一种易受攻击的合约(在所有交易所都不可交易)完成交易,作为我们的概念验证(POC)”

  虽然收到这种漏洞感染的ERC20代币都是一些知名度比较低的代币,但是这个漏洞所带来的风险却不仅限于这些项目。如果攻击者凭空创造出代币,他们可以在交易所上与以太坊和比特币交易,从而影响到这些资产的价格,尤其会影响到人们对以太坊系统的信心。随着下一代区块链战争的白热化以及像EOS这样的竞争对手出现,智能合约的漏洞已然成为以太坊不必要的负担。(作者:Kai Sedgwick)

声明:本站来源于互联网的文章均已标明出处,版权归原作者所有。转载之目的在于传播百家观点以及促进信息交流,如有争议请与我们联系


好币网 >以太坊 >智能合约被曝安全漏洞,交易所纷纷暂停ERC20代币充值