Bullockchain:智能合约现重大漏洞,数字资产瞬间流失,真相如此惊悚
区块链项目投资成为市民投资热点还处在小范围阶段,但这种理财却因为去年的数字资产市场的火爆而势头强劲。
近期,数字产品从半个月前触底以来,市场行情逐渐回暖,并在某些利好因素刺激下总市值持续攀升,投资者们更是按捺不住“激动”的心情,想在数字资产理财中大显身手。
然而,4月25日,市场突然全线普跌,多支数字资产产品跌幅超过20%,更有SMT/USDT、SMT/BTC、SMT/ETH交易暂停。事出反常,必有妖。
智能合约现重大漏洞,快看专家怎么说
4月22日,BEC发现重大漏洞,市值几近归零;
4月25日,SMT遭遇与BEC类似溢出攻击。
随后,火币Pro发布公告,决定暂停所有币种的提充业务。
据悉,25日凌晨,SmartMesh(SMT)项目方反馈发现交易异常,经排查,确认是其以太坊智能合约存在漏洞。
火币Pro随即紧急检测,发现TXID为:0x0775e55c402281e8ff24cf37d6f2079bf2a768cf7254593287b5f8a0f621fb83的异常。
受此次攻击影响,除了火币Pro,OKEx,gate.io等交易平台也先后暂停了SMT的充提和交易。
据来自Bullockchain的技术团队分析:以太坊Token发行只提供了协议规范,并没有统一、标准化过程,更没有高性能、安全稳定的加密货币复式记账所需要的UTXO模型。
ERC20智能合约虽然有着灵活性,但一旦出现问题,它本身所具有的不可逆性、不可篡改性,也会造成错误无法修改。
更为重要的是,Token溢出漏洞的产生,并不是以太坊本身合约造成的,而是因为基于以太坊发布Token时,数量的控制权在项目团队手上,人为出现Bug,也是难以避免的。
一些项目,如Bullockchain项目那样,开始运用比特币成熟的技术、稳定的运行、安全的逻辑和统一、标准的Token发布模式,并采用经过考验的UTXO模型进行记账。Bullockchain就提供了一键发布Token的功能,在Bullockchain上用户无需开发自己的智能合约,只需按简单指令操作即可完成Token发布。在实际应用中,会最大限度地排除人为因素,可以有效避免每个团队自主开发,造成漏洞。
重要的事情看三遍,问题可能比想像的更严重
受此事件影响的不仅仅是SMT和BEC,凡是基于ERC20体系开发的数字币都有危险。
有区块链安全公司提出,包括:MEST、SMT、FirstCoin、CNY Token、MTC等多个ERC20智能合约遭受了proxyOverflow漏洞影响。也就是说这一系列可怕事件的根源存在于公链漏洞上。
�
Tim Yang,微博研发副总经理,发布个人微博认为:“最近的ERC20的转账的安全问题,直接原因都是代码安全漏洞,由程序员背锅,但大家比较少讨论其深层次的原因,为什么以太坊比较容易出安全问题?
以太坊只是一个记录dapp 执行结果的区块链,其本身并没有加密货币复式记账所需的utxo模型。以太坊自身的以太币也是由balance 来表示账号余额,用余额的区块链有一个明显的缺陷,很容易遭受重放攻击(交易的请求再发送一次)。以太坊用了nonce等 tricky的做法避免主链货币重放,但对于基于dapp的代币,就需要依赖开发者自己来保障其安全逻辑。
采用复试记账的utxo则所有的转账需要检查输入来源,如果这个来源已经被使用过一次,则表示这次转账是一个双花尝试,而比特币最主要的架构设计逻辑比如PoW以及长链胜出就是用于防止双花攻击。”
“我的看法是,重要的token资产不适合构建在erc 20基础之上。它没有任何货币安全设计的考虑。”
投资数字资产比传统理财更需要技术头脑,如何分辨一个项目是否运用了UTXO模型,将决定你会在这场全新的数字理财中赚得人生第一桶金,还是跌出人生新阴影。