当前位置:首页 > 比特币新闻 > 正文

EDU、BAI被曝智能合约漏洞,用户损失谁担责?

来源: 互联网时间:2019-01-07 21:47:32

社区对SMT、BEC的智能合约漏洞还心有余悸,今日,智能合约安全问题再次上演, EDU、BAI智能合约也被曝存在重大漏洞。

智能合约漏洞频出


今早,据慢雾区消息,EDU 智能合约出现重大漏洞,可转走任意账户的 EDU Token。具体分析如下:在 transferFrom 函数中,未校验 allowed[_from][msg.sender] >= _value 并且函数内 allowed[_from][msg.sender] -= _value; 没有使用 SafeMath,导致无法抛出异常并回滚交易。

漏洞发现时已存在大量洗劫行为,攻击者不需私钥即可转走账户中的 EDU。而由于合约没有 Pause 设计,导致无法止损。

此前,EDU只在一家交易平台火币Pro进行交易,于今早发现合约漏洞问题后,火币Pro随即暂停了EDU相关交易对。根据非小号(feixiaohao.com)数据,5月20日凌晨起出现的抛售现象一直持续到停止交易。

edu-520

祸不单行,今天上午,BAI 智能合约也被发现存在和 EDU 类似漏洞,可转走任意账户里的 BAI Token,同样存在大量洗劫行为。根据非小号(feixiaohao.com)数据,BAI已经上线三家交易平台CoinTiger、KKCoin、OTCBTC,24小时价格下跌45%,目前为0.0145元。

两项目团队随即发布公告分析了此次攻击事件,并提供了类似的解决方案:

将新发代币对智能合约进行升级,对异常账户出现前的资产地址进行快照,智能合约升级后根据快照按比例空投至原有代币地址。原代币将作废。

20180524154546

牵一发而动全身,用户损失谁背锅?


不过,智能合约漏洞造成的影响远不止单个项目投资者受损。据自媒体“区块律动”分析,从5月20日午夜开始,黑客利用无法提币的现货将比特币砸到7400美元,并在其他交易所做空比特币,成功“收割”期货和现货。

大量投资者遭受损失,除了项目团队对安全问题的忽视,上线相关代币的交易平台更是责无旁贷。火币Pro今天下午发布公告称,“正在对火币平台上的ERC20智能合约代码进行复审;同时,为了进一步加强安全防范,火币Pro决定联合全球知名的网络安全机构知道创宇,慢雾科技等公司对火币Pro已经上线的智能合约项目进行代码复审。未来,申请上线火币的项目方,需要提供火币认可的安全机构做出的审计报告。”

huobi-gonggao

今年以来,多个基于ERC20的智能合约被曝存在安全漏洞,除了已经造成巨大影响的BEC、SMT、EDU、BAI,尚有多个存在安全隐患的智能合约代币依然在交易平台交易。

由于以太坊智能合约设计原理,为保持代币一致性,已发代币的智能合约极难修改,因此在设计之初一旦有安全隐患未被发现,后续无法修正,后患无穷。

再次提醒,项目方应做好自查,必要时请外部公司进行审计,交易平台应做好对项目方的审核工作和自身安全防护,投资者亦应注意风险。

标签: EDU币

免责声明:

1.本文内容综合整理自互联网,观点仅代表作者本人,不代表本站立场。

2.资讯内容不构成投资建议,投资者应独立决策并自行承担风险。