EDU、BAI被曝智能合约漏洞,用户损失谁担责?
社区对SMT、BEC的智能合约漏洞还心有余悸,今日,智能合约安全问题再次上演, EDU、BAI智能合约也被曝存在重大漏洞。
智能合约漏洞频出
今早,据慢雾区消息,EDU 智能合约出现重大漏洞,可转走任意账户的 EDU Token。具体分析如下:在 transferFrom 函数中,未校验 allowed[_from][msg.sender] >= _value 并且函数内 allowed[_from][msg.sender] -= _value; 没有使用 SafeMath,导致无法抛出异常并回滚交易。
漏洞发现时已存在大量洗劫行为,攻击者不需私钥即可转走账户中的 EDU。而由于合约没有 Pause 设计,导致无法止损。
此前,EDU只在一家交易平台火币Pro进行交易,于今早发现合约漏洞问题后,火币Pro随即暂停了EDU相关交易对。根据非小号(feixiaohao.com)数据,5月20日凌晨起出现的抛售现象一直持续到停止交易。
祸不单行,今天上午,BAI 智能合约也被发现存在和 EDU 类似漏洞,可转走任意账户里的 BAI Token,同样存在大量洗劫行为。根据非小号(feixiaohao.com)数据,BAI已经上线三家交易平台CoinTiger、KKCoin、OTCBTC,24小时价格下跌45%,目前为0.0145元。
两项目团队随即发布公告分析了此次攻击事件,并提供了类似的解决方案:
将新发代币对智能合约进行升级,对异常账户出现前的资产地址进行快照,智能合约升级后根据快照按比例空投至原有代币地址。原代币将作废。
牵一发而动全身,用户损失谁背锅?
不过,智能合约漏洞造成的影响远不止单个项目投资者受损。据自媒体“区块律动”分析,从5月20日午夜开始,黑客利用无法提币的现货将比特币砸到7400美元,并在其他交易所做空比特币,成功“收割”期货和现货。
大量投资者遭受损失,除了项目团队对安全问题的忽视,上线相关代币的交易平台更是责无旁贷。火币Pro今天下午发布公告称,“正在对火币平台上的ERC20智能合约代码进行复审;同时,为了进一步加强安全防范,火币Pro决定联合全球知名的网络安全机构知道创宇,慢雾科技等公司对火币Pro已经上线的智能合约项目进行代码复审。未来,申请上线火币的项目方,需要提供火币认可的安全机构做出的审计报告。”
今年以来,多个基于ERC20的智能合约被曝存在安全漏洞,除了已经造成巨大影响的BEC、SMT、EDU、BAI,尚有多个存在安全隐患的智能合约代币依然在交易平台交易。
由于以太坊智能合约设计原理,为保持代币一致性,已发代币的智能合约极难修改,因此在设计之初一旦有安全隐患未被发现,后续无法修正,后患无穷。
再次提醒,项目方应做好自查,必要时请外部公司进行审计,交易平台应做好对项目方的审核工作和自身安全防护,投资者亦应注意风险。
- EDU币有没有投资价值?2020-02-14 14:21
- EDU教育币怎么样?2020-02-05 12:04
- 教育链/EDU币的市场表现怎么样?有优势吗?2020-02-08 21:47
- 不闻不问对EDU币的点评2019-12-30 14:39
- EDU币是什么币种?EDU币是空气币吗?2020-03-30 10:40
- EDU、BAI被曝智能合约漏洞,用户损失谁担责?2019-01-07 21:47
- EDU币有何漏洞?可以投资吗?2019-12-30 14:39
- 教育链/EDU币初始发行价格是多少?2020-02-06 10:42
- 教育积分/EDU币上市价位多少,EDU币什么时候上市的?2020-07-17 12:01
- 教育链/EDU币到底是怎么回事?有什么用?2020-03-04 07:49