All rights reserved 區塊鏈媒體中鏈傳媒
區塊鏈項目投資成為市民投資熱點還處在小範圍階段,但這種理財卻因為去年的數字資產市場的火爆而勢頭強勁。
近期,數字產品從半個月前觸底以來,市場行情逐漸回暖,並在某些利好因素刺激下總市值持續攀升,投資者們更是按捺不住“激動”的心情,想在數字資產理財中大顯身手。
然而,4月25日,市場突然全線普跌,多支數字資產產品跌幅超過20%,更有SMT/USDT、SMT/BTC、SMT/ETH交易暫停。事出反常,必有妖。
智能合約現重大漏洞,快看專家怎麼說
4月22日,BEC發現重大漏洞,市值幾近歸零;
4月25日,SMT遭遇與BEC類似溢出攻擊。
隨後,火幣Pro發佈公告,決定暫停所有幣種的提充業務。
據悉,25日凌晨,SmartMesh(SMT)項目方反饋發現交易異常,經排查,確認是其以太坊智能合約存在漏洞。
火幣Pro隨即緊急檢測,發現TXID為:0x0775e55c402281e8ff24cf37d6f2079bf2a768cf7254593287b5f8a0f621fb83的異常。
受此次攻擊影響,除了火幣Pro,OKEx,gate.io等交易平臺也先後暫停了SMT的充提和交易。
據來自Bullockchain的技術團隊分析:以太坊Token發行只提供了協議規範,並沒有統一、標準化過程,更沒有高性能、安全穩定的加密貨幣複式記賬所需要的UTXO模型。
ERC20智能合約雖然有著靈活性,但一旦出現問題,它本身所具有的不可逆性、不可篡改性,也會造成錯誤無法修改。
更為重要的是,Token溢出漏洞的產生,並不是以太坊本身合約造成的,而是因為基於以太坊發佈Token時,數量的控制權在項目團隊手上,人為出現Bug,也是難以避免的。
一些項目,如Bullockchain項目那樣,開始運用比特幣成熟的技術、穩定的運行、安全的邏輯和統一、標準的Token發佈模式,並採用經過考驗的UTXO模型進行記賬。Bullockchain就提供了一鍵發佈Token的功能,在Bullockchain上用戶無需開發自己的智能合約,只需按簡單指令操作即可完成Token發佈。在實際應用中,會最大限度地排除人為因素,可以有效避免每個團隊自主開發,造成漏洞。
重要的事情看三遍,問題可能比想象的更嚴重
受此事件影響的不僅僅是SMT和BEC,凡是基於ERC20體系開發的數字幣都有危險。有區塊鏈安全公司提出,包括:MEST、SMT、FirstCoin、CNY Token、MTC等多個ERC20智能合約遭受了proxyOverflow漏洞影響。也就是說這一系列可怕事件的根源存在於公鏈漏洞上。
Tim Yang,微博研發副總經理,發佈個人微博認為:“最近的 ERC20的轉賬的安全問題,直接原因都是代碼安全漏洞,由程序員背鍋,但大家比較少討論其深層次的原因,為什麼以太坊比較容易出安全問題?
以太坊只是一個記錄 dapp 執行結果的區塊鏈,其本身並沒有加密貨幣複式記賬所需的utxo模型。以太坊自身的以太幣也是由balance 來表示賬號餘額,用餘額的區塊鏈有一個明顯的缺陷,很容易遭受重放攻擊(交易的請求再發送一次)。以太坊用了nonce等 tricky的做法避免主鏈貨幣重放,但對於基於dapp的代幣,就需要依賴開發者自己來保障其安全邏輯。
採用複式記賬的utxo則所有的轉賬需要檢查輸入來源,如果這個來源已經被使用過一次,則表示這次轉賬是一個雙花嘗試,而比特幣最主要的架構設計邏輯比如PoW以及長鏈勝出就是用於防止雙花攻擊。”
“我的看法是,重要的token資產不適合構建在erc 20基礎之上。它沒有任何貨幣安全設計的考慮。”
投資數字資產比傳統理財更需要技術頭腦,如何分辨一個項目是否運用了UTXO模型,將決定你會在這場全新的數字理財中賺得人生第一桶金,還是跌出人生新陰影。
閱讀更多 中華科技網 的文章
