EDU、BAI被曝智能合約漏洞，用戶損失誰背鍋？

社區對SMT、BEC的智能合約漏洞還心有餘悸，今日，智能合約安全問題再次上演， EDU、BAI智能合約也被曝出現重大漏洞。

智能合約漏洞頻出

今早，據慢霧區消息，EDU 智能合約出現重大漏洞，可轉走任意賬戶的 EDU Token。具體分析如下：在 transferFrom 函數中，未校驗 allowed[_from][msg.sender] >= _value 並且函數內 allowed[_from][msg.sender] -= _value; 沒有使用 SafeMath，導致無法拋出異常並回滾交易。

漏洞發現時已存在大量洗劫行為，攻擊者不需私鑰即可轉走賬戶中的 EDU。而由於合約沒有 Pause 設計，導致無法止損。

此前，EDU只在一家交易平台火幣Pro進行交易，於今早發現合約漏洞問題後，火幣Pro隨即暫停了EDU相關交易對。根據非小號（feixiaohao.com）數據，5月20日凌晨起出現的拋售現象一直持續到停止交易。

禍不單行，今天上午，BAI 智能合約也被發現存在和 EDU 類似漏洞，可轉走任意賬戶里的 BAI Token，同樣存在大量洗劫行為。根據非小號（feixiaohao.com）數據，BAI已經上線三家交易平台CoinTiger、KKCoin、OTCBTC，24小時價格下跌45%，目前為0.0145元。

兩項目團隊隨即發布公告分析了此次攻擊事件，並提供了類似的解決方案：

將新發代幣對智能合約進行升級，對異常賬戶出現前的資產地址進行快照，智能合約升級後根據快照按比例空投至原有代幣地址。原代幣將作廢。

牽一髮而動全身，用戶損失誰背鍋？

不過，智能合約漏洞造成的影響遠不止單個項目投資者受損。據自媒體「區塊律動」分析，從5月20日午夜開始，黑客利用無法提幣的現貨將比特幣砸到7400美元，並在其他交易所做空比特幣，成功「收割」期貨和現貨。

大量投資者遭受損失，除了項目團隊對安全問題的忽視，上線相關代幣的交易平台更是責無旁貸。火幣Pro今天下午發布公告稱，「正在對火幣平台上的ERC20智能合約代碼進行複審；同時，為了進一步加強安全防範，火幣Pro決定聯合全球知名的網路安全機構知道創宇，慢霧科技等公司對火幣Pro已經上線的智能合約項目進行代碼複審。未來，申請上線火幣的項目方，需要提供火幣認可的安全機構做出的審計報告。」

今年以來，多個基於ERC20的智能合約被曝存在安全漏洞，除了已經造成巨大影響的BEC、SMT、EDU、BAI，尚有多個存在安全隱患的智能合約代幣依然在交易平台交易。

由於以太坊智能合約設計原理，為保持代幣一致性，已發代幣的智能合約極難修改，因此在設計之初一旦有安全隱患未被發現，後續無法修正，後患無窮。

巴比特再次提醒，項目方應做好自查，必要時請外部公司進行審計，交易平台應做好對項目方的審核工作和自身安全防護，投資者亦應注意風險。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！