以太坊的智慧合約一直不斷出現漏洞。今天交易所Okex、Poloniex、Coinone和Hitbtc都暫停了ERC20代幣的充值服務,原因是存有大量代幣的智慧合約被發現寫入了batch overflow漏洞。該新聞出來後,以太坊社羣投票反對恢復去年因智慧合約被鎖定而丟失的以太坊。
以太坊代幣VS煩人的漏洞建立一個可以免疫漏洞的代幣比聽上去的要難得多。月初,有研究員稱已經發現34000份以太坊智慧合約容易出現漏洞,本週有一篇部落格重點描述一個漏洞:可以影響ERC20智慧合約BatchOverFlow漏洞。這個漏洞很嚴重,Okex已經宣佈暫停ERC20代幣充值服務。因發現智慧合約出現“BATCHOVERFLOW”漏洞,我們將暫停所有ERC20代幣充值服務。攻擊者利用這個漏洞可以產生大量代幣並將其轉入正常地址。這會導致很多ERC20代幣的價格容易被攻擊者操縱。Okex補充說:“為了保護廣大使用者的利益,我們已經決定在漏洞修復之前暫停所有ERC20代幣的充值服務。我們已聯絡所有已上線專案方自行排查以消除隱患。”其他很多交易所也紛紛效法。
消除漏洞是一場永無止盡的戰鬥
對於在以太坊協議上搭建的專案以及現有的代幣來說,攻擊者可以竊取、凍結、複製ERC20代幣簡直就是個噩夢,這些專案的團隊現在仔細審查程式碼查詢漏洞。Smartmesh (SMT)就是其中一種受感染的代幣,這是一個可在火幣、Gate.io、Hitbtc和Okex上交易的ERC20代幣。其智慧合約明顯出現了漏洞,代幣的餘額和代幣的價值已經超過了30位數。在過去24小時,數以百億計的SMT從Smartmesh智慧合約上被轉移。
這篇在4月20日發表關於batchoverflow的部落格還識別出Beautychain (BEC)代幣也存在同樣的漏洞。作者寫道:“我們進一步執行系統掃描和分析其他合約。我們的結果顯示,超過12個ERC20代幣容易受到batchoverflow的攻擊。為了展示,我們已經成功與一種易受攻擊的合約(在所有交易所都不可交易)完成交易,作為我們的概念驗證(POC)”
雖然收到這種漏洞感染的ERC20代幣都是一些知名度比較低的代幣,但是這個漏洞所帶來的風險卻不僅限於這些專案。如果攻擊者憑空創造出代幣,他們可以在交易所上與以太坊和比特幣交易,從而影響到這些資產的價格,尤其會影響到人們對以太坊系統的信心。隨著下一代戰爭的白熱化以及像EOS這樣的競爭對手出現,智慧合約的漏洞已然成為以太坊不必要的負擔。
更多區塊鏈數字貨幣資訊:http://www.qukuaiwang.com.cn/news
