0
雖然美圖董事長蔡文勝一再撇清美圖與美鏈(Beauty Chain)的關系,但這并未阻止資本對 BEC (所發行代幣)的青睞。
因為蔡文勝是 OKEx 的早期投資人,而美蜜幣目前又僅上線了OKEx一個交易平臺,所以業內人大都認為蔡和美蜜有著千絲萬縷的關系。就在大家都在爭論美鏈是否為莊家坐莊操控幣價時,一場韭菜們意想不到的災難突然降臨。
4月22日13時左右,OKEx發布公告,暫停BEC交易和提現。
據雷鋒網了解,這是因為BEC智能合約出現重大漏洞,攻擊者可以通過代幣合約的批量轉賬方法無限生成代幣。也就是說,攻擊者的賬戶不會轉出任何BEC,但接收方卻可以收到大量的BEC。
而在此公告之前的一個多小時,一篇名為“一行代碼蒸發了¥6,447,277,680 人民幣!”的文章已經在幣圈和鏈圈流傳,文中分析了漏洞產生的原因。
據分析,BEC 智能合約(https://etherscan.io/address/0xc5d105e63711398af9bbff092d4b6769c82f793d)中的 batchTransfer 批量轉賬函數存在漏洞,攻擊者可傳入很大的 value 數值,使 cnt * value 后超過 unit256 的最大值使其溢出導致 amount 變為 0。
你傳幾個地址給我(receivers),然后再傳給我你要給每個人多少代幣(value),發送的總金額 = 發送的人數*發送的金額,所以這會要求你當前的余額大于發送的總金額。
從邏輯上看,你想給別人發送代幣,那么你本身的余額一定要大于發送的總金額,這是合理的。但是,這段代碼卻犯了“整數溢出”的低級錯誤!
當其設置的值超過了取值范圍時,就會出現“溢出”漏洞,黑客利用這個漏洞就可無限生成新的代幣。
想象一下,如果人民幣可以不限量的發行時,你手中的錢還值錢嗎?
還好,目前BEC已暫停交易,但究竟生成了多少代幣,還未公布。不過,韭菜們手中的 BEC 貶值是肯定的了。文中建議,應該根據在漏洞之前的快照,查詢所有用戶的余額情況,發行新的token,給之前的用戶發送等額的代幣,補償損失。
消息來源:知乎
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
