(BMB小姐姐在用美图手机自拍中)
“
BEC、SMT等Token被盗事件唤醒了人们对资产安全的担忧。目前市场上的项目种类繁多,质量参差不齐,投资者难以判断项目可靠程度。BugX众包模式的智能合约审计可以帮助投资者从代码层面判断项目的风险,为投资提供有价值的参考。
”
1
BEC被盗复盘
美链 BEC,这个曾经暴涨53倍,高出美图5倍市值的传奇币种,在一场“实习生都不该犯”的合约bug中被转走价值60亿元的代币。消息同时引发了价格闪崩,按照交易中的闪跌最低价0.137元计算,大跌近94%,市值蒸发120亿元,几近归零。之后,OKEx直接下架了BEC,几乎相当于把BEC直接归零。幕后老板蔡文胜终于遭到了报应——“割人者,人恒割之"。
故事的起因,是有人利用美链代码中的bug转移了57,896,044,618,658,100,000,000,000,000,000,000,000,000,000,000,000,000,000,000.792003956564819968个BEC,这笔大额交易和消息面的震动引起了BEC价格暴跌。美链随后发布公告,将尽快发布新的智能合约,并与OKEx交易所达成一致,回滚交易至4月22日13:18时刻,新的智能合约会与BEC进行1:1映射,意味着将有一个新的(jiu)币(cai)种(bi)替代BEC,总量也为70亿个。
我们再来看下这个简单的程序Bug。转账记录显示,价值60亿元的BEC被转至两个账户。该操作利用了BEC智能合约的漏洞,转出token总量大于token实际设定的数量发生,又被称为“溢出”。“这就相当于两个人之间的转账。如果你给我转100块钱,首先你得有100块钱。”业内人士称,一般跟金钱挂钩的代码,是重中之重的,要多次检测的。这次智能合约漏洞程序代码的每一个数据类型都是有范围的,若范围是1-100,那么101就和1是一样的。如果在转账的时候,没有进行safeMath判断,情况就是 101和1是相等的。如果加了判断,101就是报错。而程序员没用到safeMath这段代码,所以出了这个漏洞。“实际上就是你没有100块钱,给我转账的时候,我却真的有了100块钱。”
仅过了两天时间,SMT智能合约也被爆出相同的漏洞,而网友发现,有相同漏洞的数字货币还有许多。
尽管蔡文胜此前多次撇清与美链的关系,“BeautyChain是独立第三方机构开发的产品,只是跟美图海外版应用BeautyPlus有推广合作,美图没有发行代币”。然而业内人士透露,蔡文胜与BEC存在千丝万缕的联系,而BEC团队目前实际只有三人。根据官方资料,BEC美链的官网域名beauty.io代理注册人疑似为蔡文胜好友蔡宝忠。另据公开资料,蔡文胜参与了虚拟货币交易所OKEx的1000万美金A轮投资。因此,BEC也得以顺利在OKEx上挂牌交易。虽然美图发布紧急声明,终止与美链的合作,但不知这次大失血后,蔡文胜的区块链梦、或者说是韭菜梦,是不是要凉了。
2
层出不穷的数字货币黑客事件
据统计,2017年下半年期间,智能合约的数量从50万增长到300万,2018年预计会突破1000万。随着数字货币的持续火爆和总市值的不断增长,黑客事件不断频发,数量与失窃金额整体呈快速上升趋势。有黑产人士透露,随着交易所和数字货币数量的井喷,虚拟货币黑产将最晚在2018年下半年形成大规模的稳定作业流程。
在古典互联网世界里的,大多数非专业人士对安全的认知仅仅停留在“404”和杀毒软件。对古典互联网用户来说,安全并非极迫切问题,影响范围有限。但是在区块链世界里,无论是数字货币交易所、智能合约还是钱包,Code is law,Crypto is money,数字货币的“真金白银”化让安全问题被提升到一个前所未有的高度。
2016年6月,一位恶意攻击者盗窃了价值5500万美元的以太币,这个被盗的本质原因是DAO的智能合约存在一个安全漏洞,被攻击者恶意利用。
2017年4月,韩国加密货币交易所Youbit首次遭到疑似朝鲜黑客入侵,丢失了4000个比特币,12月份,Youbit再次遭黑客入侵,损失了17%的总资产,公司申请破产。
2017年7月,另一位黑客通过利用以太坊钱包客户端 Parity 漏洞盗取了价值超过3000万美元的ETH,问题的本质也是由智能合约自身钱包应用的一个奇偶校验漏洞所导致的被盗事件。
2018年1月,日本加密货币交易所Coincheck被黑客盗走总额约580亿日元的NEM币,Coincheck因此向投资者返还约463亿日元(约合4.25亿美元)。这也成为有史以来规模最大的数字货币盗窃案之一。
2018年4月,BEC美蜜合约出现重大漏洞,黑客通过合约的批量转账方法无限生成代币。天量BEC从两个地址转出,引发抛售潮。当日,BEC的价值几乎归零。“一行代码蒸发了6,447,277,680 人民币!”
2018年4月,目前最受欢迎的以太坊钱包Myetherwallet发生的一连串事故,两个小时里很多用户的钱包被清空,黑客卷走至少13000美元。
安全问题严重困扰着以太坊上智能合约的应用发展,包括金融,保险,社交,游戏,运算和存储分配,赌博等几乎所有应用。伦敦大学学院(University College London,UCL)计算机科学系伊利亚·谢尔盖副教授的研究论文《Finding The Greedy , Prodigal , and Suicidal Contractsat Scale》中,通过对将近 100 万份智能合约进行每份合约 10 秒分析时间的分析后发现,这其中有 34200 份智能合约很容易受到黑客攻击。同时他们又对 3759 份智能合约抽样调查,在这之中,3686 份智能合约有 89% 的概率含有漏洞。以下列举六个以太坊重大漏洞:
序号漏洞名称漏洞描述
1日食攻击(eclipse attack)日食攻击是其他节点实施的网络层面攻击,其攻击手段是囤积和霸占受害者的点对点连接时隙(slot),将该节点保留在一个隔离的网络中。这种类型的攻击旨在阻止最新的区块链信息进入到日食节点,从而隔离节点。
2以太坊短地址漏洞由于EVM并没有严格校验地址的位数,并且还擅自自动补充消失的位数,使得合约多发送很多代币出来。
3Geth客户端DoS攻击漏洞 大约75%的以太坊节点都在运行Geth,这个漏洞可能会使那些运行兼容拜占庭的版本的节点在硬分叉之后更加容易遭受DoS攻击。
4浪子合约漏洞 交易资金因为漏洞返还给所有者、交易者过去发送给以太网的地址,以及特定地址。这种漏洞就像是空手套白狼,买家得到商品,而卖家无法得到加密货币。
5自杀合约漏洞 智能合约的拥有者可以在以太坊发生故障时选择退回,类似于微信中的撤回选项。但是这个指令也可以被其他人执行,使得交易失败。
6贪婪合约漏洞 这是指那些永远停留在以太坊的智能合约,上述的 Parity 漏洞正是一种贪婪合约,它会把智能合约所涉及的商品以及加密货币锁定在以太坊中,交易双方均无法得到,也不能取消。
3
BugX拔剑出征
频发的黑客事件和触目惊心的被盗金额,唤起了人们对资产安全的担忧,甚至有专家认为,以太坊不适合作为智能合约的底层。智能合约审计开始受到重视。由于智能合约天然的去中心化属性和迅猛的迭代速度,市面上传统的网络安全服务商难以满足数字货币审计的需求,一种去中心化众包形式的智能合约安全众测模式开始迅速兴起。
BMB Group辅导的BugX平台,正通过构建一个支持数字货币交易的可扩展安全审计系统,来解决智能合约的安全问题。
BugX依赖于参与者的分布式网络来减轻不良审计行为的信任问题,完成审计工作。每个参与者使用BugX Token令牌用来支付,收取或改进验证服务。在BugX生态中,包括贡献者(提供检测规则)、漏洞赏金猎人(检测漏洞获取BugX Token奖励)、智能合约提供者(被测试方)、智能合约用户和表决治理系统。
智能合约安全审计流程说明
假设一位开发者希望降低自己编写的货币系统代码的风险,开发者可以在BugX智能合约钱包中直接提交他们的代码进行安全审计,并提供相应的BugX Token(悬赏赏金)。BugX智能合约收到审计请求后,在下一个以太坊验证节点上执行一组安全检查程序来验证智能合约的安全性。在达成共识后,审计证明和报告数据将被添加到下一个以太坊区块中。开发者获取审计报告的同时,BugX Token也支付给了贡献者(漏洞赏金猎人)。审计报告会对漏洞的严重性进行分类。如果一个漏洞没有被立即发现,赏金会预留到截止时间。
BugX通过自动化和众包的方法,降低实际风险,提升人们对智能合约的信心。去中心化的众包模式也很好适应了智能合约本身去中心化和快速迭代的特性,每当有版本更新,开发人员便会在激励下重新审计他们的智能合约,证明他们致力于确保代码安全并不断提高公众信心。
尽管币圈黑天鹅事件接连发生,智能合约审计服务正帮助人们逐步建立对行业的信心。作为普通的投资者,在投资数字货币时保持一份对技术的敬畏,关注审计报告指出的问题,秉持价值投资的理念,才能真正做到行稳致远。