當前位置:
首頁 > 新聞 > EDU、BAI被曝智能合約漏洞,用戶損失誰背鍋?

EDU、BAI被曝智能合約漏洞,用戶損失誰背鍋?

社區對SMT、BEC的智能合約漏洞還心有餘悸,今日,智能合約安全問題再次上演, EDU、BAI智能合約也被曝出現重大漏洞。


智能合約漏洞頻出

今早,據慢霧區消息,EDU 智能合約出現重大漏洞,可轉走任意賬戶的 EDU Token。具體分析如下:在 transferFrom 函數中,未校驗 allowed[_from][msg.sender] >= _value 並且函數內 allowed[_from][msg.sender] -= _value; 沒有使用 SafeMath,導致無法拋出異常並回滾交易。

漏洞發現時已存在大量洗劫行為,攻擊者不需私鑰即可轉走賬戶中的 EDU。而由於合約沒有 Pause 設計,導致無法止損。

此前,EDU只在一家交易平台火幣Pro進行交易,於今早發現合約漏洞問題後,火幣Pro隨即暫停了EDU相關交易對。根據非小號(feixiaohao.com)數據,5月20日凌晨起出現的拋售現象一直持續到停止交易。

禍不單行,今天上午,BAI 智能合約也被發現存在和 EDU 類似漏洞,可轉走任意賬戶里的 BAI Token,同樣存在大量洗劫行為。根據非小號(feixiaohao.com)數據,BAI已經上線三家交易平台CoinTiger、KKCoin、OTCBTC,24小時價格下跌45%,目前為0.0145元。

兩項目團隊隨即發布公告分析了此次攻擊事件,並提供了類似的解決方案:

將新發代幣對智能合約進行升級,對異常賬戶出現前的資產地址進行快照,智能合約升級後根據快照按比例空投至原有代幣地址。原代幣將作廢。


牽一髮而動全身,用戶損失誰背鍋?

不過,智能合約漏洞造成的影響遠不止單個項目投資者受損。據自媒體「區塊律動」分析,從5月20日午夜開始,黑客利用無法提幣的現貨將比特幣砸到7400美元,並在其他交易所做空比特幣,成功「收割」期貨和現貨。

大量投資者遭受損失,除了項目團隊對安全問題的忽視,上線相關代幣的交易平台更是責無旁貸。火幣Pro今天下午發布公告稱,「正在對火幣平台上的ERC20智能合約代碼進行複審;同時,為了進一步加強安全防範,火幣Pro決定聯合全球知名的網路安全機構知道創宇,慢霧科技等公司對火幣Pro已經上線的智能合約項目進行代碼複審。未來,申請上線火幣的項目方,需要提供火幣認可的安全機構做出的審計報告。」

今年以來,多個基於ERC20的智能合約被曝存在安全漏洞,除了已經造成巨大影響的BEC、SMT、EDU、BAI,尚有多個存在安全隱患的智能合約代幣依然在交易平台交易。

由於以太坊智能合約設計原理,為保持代幣一致性,已發代幣的智能合約極難修改,因此在設計之初一旦有安全隱患未被發現,後續無法修正,後患無窮。

巴比特再次提醒,項目方應做好自查,必要時請外部公司進行審計,交易平台應做好對項目方的審核工作和自身安全防護,投資者亦應注意風險。

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 巴比特資訊 的精彩文章:

香港證監會:ICO發行風險大,不符合公眾集資要求
中新控股彭耀傑:區塊鏈不僅是數字貨幣,東南亞是海外發展的重點市場

TAG:巴比特資訊 |