主页 > imtoken客户端 > ERC20代币合约漏洞频发,就因为这个黑客666?

ERC20代币合约漏洞频发,就因为这个黑客666?

imtoken客户端 2023-08-25 05:07:18

最近币圈很恐慌。 BEC之后又中招了SmartMesh(SMT)。 4月25日,各大交易所发布公告,暂停所有ERC20币种的充提业务。 猎豹评级大数据扫描以太坊智能合约发现,多达十几个其他合约也使用了导致BatchOverFlow漏洞的transferProxy函数,该漏洞允许攻击者根据需要创建大量代币。

基于猎豹评级大数据的基础数据支撑,区块链大佬(id:cmcmbc)今天就来和大家一起了解一下漏洞是如何产生的,如何避免损失,避免成为受害人。

1. 熟悉的公式,一样的BatchOverFlow漏洞

ERC20协议是目前数字货币交易系统中较为主流的协议体系。 ERC20规定了代币名称、代号、流通、转让等一系列常用的代码规范。 只要按照这个规范设计代币智能合约,就可以在大多数以太坊钱包上使用。 这个标准使用起来非常方便,几十行代码就可以实现一个功能齐全的通证。

在BEC事件中,我们了解到黑客利用以太坊ERC20智能合约中BatchOverFlow漏洞中的数据溢出漏洞对智能合约进行攻击,成功转出巨额代币,导致数字资产价值货币归零。 给市场交易带来毁灭性打击。

但SMT的以太坊智能合约存在类似美链BEC代币的安全漏洞,遭到类似BEC的溢出攻击,随后价格暴跌。

以太坊私有链共识机制_以太坊区块链链易查询_以太坊链可以转erc20吗

由于代币发行方便,目前市场上绝大多数的代币都是ERC20代币。 很明显,越来越多的黑客会盯上这些基于以太坊ERC20的币的漏洞,币圈将迎来的震荡可见一斑。

2. 问题根源:复制粘贴,缺少review和测试

以太坊智能合约的安全问题反映了以太坊本身设计的不完善,但从根本上是项目团队自身的问题。 漏洞事件密集爆发,暴露出币圈项目“代码抄袭”的普遍性和隐患。 同时,这些低级漏洞的存在也说明很多项目在编写代币合约时,没有进行代码安全审查和测试。

将地址为0x55F93985431Fc9304077687a35A1BA103dC1e081的SMT合约字节码放入猎豹评级项目的安全审计工具中,发现如下结果:

以太坊链可以转erc20吗_以太坊私有链共识机制_以太坊区块链链易查询

“预测”:[ [“错误”,92.8],[“良性”,7.2]]}

这意味着智能合约代码的错误概率高达92.8%。

抄袭代码,没有安全监控意识和能力的项目,从外观上肯定很容易看出是假冒产品,但这次发生的SMT也有些不同。

SMT由创始人王启恒发起,他表示通过结合区块链和无网络通信技术,以手机等设备为共享节点,构建一个去中心化的点对点网络,兼容联网和无联网。非联网情况。 分布式网络。 也就是说,即使未来没有WiFi和4G,大家也可以通过彼此的手机或者其他IOT设备自己连接。

以太坊区块链链易查询_以太坊私有链共识机制_以太坊链可以转erc20吗

不久前,SMT入选硅谷知名IT首席信息官杂志《APAC CIOoutlook》评选的“2018 Top 10 Blockchain Technology Providers”榜单(简称“全球十大区块链项目榜单”)。 被视为区块链项目中的一匹黑马。

3、SmartMesh项目启动

在解释BEC被盗一文中,科长总结了判断区块链项目优劣应该遵循的几个基本标准。 其中包括从官网信息和白皮书中充分了解项目和团队背景,关注项目的社区活跃度和代码实现等。从这些方面来看SMT项目,可以总结出以下几点:

1. 项目愿景大,但实施方案不够细化

以太坊私有链共识机制_以太坊链可以转erc20吗_以太坊区块链链易查询

SMT计划通过比特币的闪电网络解决速度慢的问题,通过以太坊的雷电网络解决小额支付手续费过高的问题。 给出具体、更详细的说明。 总体而言,SMT项目的愿景是美好的,但实施计划不足。

2.社区建设好以太坊链可以转erc20吗以太坊链可以转erc20吗,公关反应快

以太坊链可以转erc20吗_以太坊区块链链易查询_以太坊私有链共识机制

SMT的Telegram人数为4340,根据猎豹评级大数据,Telegram的人数和发言活跃度在所有加密货币中排名前30%。 SMT 的 Medium 也维护的很好,项目的进展和项目相关的事件都会在 SMT 上进行沟通。 针对此次漏洞事件,SMT也通过官方微博等渠道及时发布公告,公布最新进展。

以太坊区块链链易查询_以太坊链可以转erc20吗_以太坊私有链共识机制

3.代码实现

SmartMesh 在 GitHub 上有多个项目,包括 Spectrum(主网)、SmartRaiden(雷电网络)以及 SmartMesh_Android 和 Ozone(钱包和界面)。 GitHub上的描述显示,4月30日上线的主网Spectrum项目基于以太坊,主要修改共识算法和区块链奖励规则,增加物联网功能。

Spectrum 于 2017 年 12 月首次提交至 GitHub,共有 5 名贡献者,共计 131 次提交和 8 次发布。 与猎豹评级大数据中其他项目的GitHub活跃度数据相比,Spectrum的活跃度排在前30%。

总结:

客观的说,综合SMT各项指标来看,并不是一个弱项。 但 SMT 仍然存在与 BEC 相同的低端漏洞。

这也说明,安全漏洞并不是所有项目都能100%避免的,好的项目也会有问题。 大家应该更加关注合约漏洞,认真识别各种可见维度,增强自我安全意识。 站长再次提醒大家,币圈存在风险,需谨慎!返回搜狐查看更多

上一篇:伊隆·马斯克表示,特斯拉因环境问题暂停比特币支付
下一篇:im钱包如何转币到交易所 im钱包转币到交易所的方法

相关文章

imtoken官方推出一款网上热钱包是一款移动端以太坊轻钱包App,旨在为区块链领域的用户提供安全放心、简单好用、功能强大的数字钱包. 你可以自由地创建和导入数字货币钱包。