Bullockchain：智能合約現(xiàn)重大漏洞，數(shù)字資產(chǎn)瞬間流失，真相如此驚悚

區(qū)塊鏈項(xiàng)目投資成為市民投資熱點(diǎn)還處在小范圍階段，但這種理財(cái)卻因?yàn)槿ツ甑臄?shù)字資產(chǎn)市場(chǎng)的火爆而勢(shì)頭強(qiáng)勁。

近期，數(shù)字產(chǎn)品從半個(gè)月前觸底以來，市場(chǎng)行情逐漸回暖，并在某些利好因素刺激下總市值持續(xù)攀升，投資者們更是按捺不住“激動(dòng)”的心情，想在數(shù)字資產(chǎn)理財(cái)中大顯身手。

然而，4月25日，市場(chǎng)突然全線普跌，多支數(shù)字資產(chǎn)產(chǎn)品跌幅超過20%，更有SMT/USDT、SMT/BTC、SMT/ETH交易暫停。事出反常，必有妖。

智能合約現(xiàn)重大漏洞，快看專家怎么說

4月22日，BEC發(fā)現(xiàn)重大漏洞，市值幾近歸零；

4月25日，SMT遭遇與BEC類似溢出攻擊。

隨后，火幣Pro發(fā)布公告，決定暫停所有幣種的提充業(yè)務(wù)。

據(jù)悉，25日凌晨，SmartMesh（SMT）項(xiàng)目方反饋發(fā)現(xiàn)交易異常，經(jīng)排查，確認(rèn)是其以太坊智能合約存在漏洞。

火幣Pro隨即緊急檢測(cè)，發(fā)現(xiàn)TXID為：0x0775e55c402281e8ff24cf37d6f2079bf2a768cf7254593287b5f8a0f621fb83的異常。

受此次攻擊影響，除了火幣Pro，OKEx，gate.io等交易平臺(tái)也先后暫停了SMT的充提和交易。

據(jù)來自Bullockchain的技術(shù)團(tuán)隊(duì)分析：以太坊Token發(fā)行只提供了協(xié)議規(guī)范，并沒有統(tǒng)一、標(biāo)準(zhǔn)化過程，更沒有高性能、安全穩(wěn)定的加密貨幣復(fù)式記賬所需要的UTXO模型。

ERC20智能合約雖然有著靈活性，但一旦出現(xiàn)問題，它本身所具有的不可逆性、不可篡改性，也會(huì)造成錯(cuò)誤無法修改。

更為重要的是，Token溢出漏洞的產(chǎn)生，并不是以太坊本身合約造成的，而是因?yàn)榛谝蕴话l(fā)布Token時(shí)，數(shù)量的控制權(quán)在項(xiàng)目團(tuán)隊(duì)手上，人為出現(xiàn)Bug，也是難以避免的。

一些項(xiàng)目，如Bullockchain項(xiàng)目那樣，開始運(yùn)用比特幣成熟的技術(shù)、穩(wěn)定的運(yùn)行、安全的邏輯和統(tǒng)一、標(biāo)準(zhǔn)的Token發(fā)布模式，并采用經(jīng)過考驗(yàn)的UTXO模型進(jìn)行記賬。Bullockchain就提供了一鍵發(fā)布Token的功能，在Bullockchain上用戶無需開發(fā)自己的智能合約，只需按簡(jiǎn)單指令操作即可完成Token發(fā)布。在實(shí)際應(yīng)用中，會(huì)最大限度地排除人為因素，可以有效避免每個(gè)團(tuán)隊(duì)自主開發(fā)，造成漏洞。

重要的事情看三遍，問題可能比想像的更嚴(yán)重

受此事件影響的不僅僅是SMT和BEC，凡是基于ERC20體系開發(fā)的數(shù)字幣都有危險(xiǎn)。有區(qū)塊鏈安全公司提出，包括：MEST、SMT、FirstCoin、CNY Token、MTC等多個(gè)ERC20智能合約遭受了proxyOverflow漏洞影響。也就是說這一系列可怕事件的根源存在于公鏈漏洞上。

Tim Yang，微博研發(fā)副總經(jīng)理，發(fā)布個(gè)人微博認(rèn)為：“最近的ERC20的轉(zhuǎn)賬的安全問題，直接原因都是代碼安全漏洞，由程序員背鍋，但大家比較少討論其深層次的原因，為什么以太坊比較容易出安全問題？

以太坊只是一個(gè)記錄dapp 執(zhí)行結(jié)果的區(qū)塊鏈，其本身并沒有加密貨幣復(fù)式記賬所需的utxo模型。以太坊自身的以太幣也是由balance 來表示賬號(hào)余額，用余額的區(qū)塊鏈有一個(gè)明顯的缺陷，很容易遭受重放攻擊（交易的請(qǐng)求再發(fā)送一次）。以太坊用了nonce等 tricky的做法避免主鏈貨幣重放，但對(duì)于基于dapp的代幣，就需要依賴開發(fā)者自己來保障其安全邏輯。

采用復(fù)試記賬的utxo則所有的轉(zhuǎn)賬需要檢查輸入來源，如果這個(gè)來源已經(jīng)被使用過一次，則表示這次轉(zhuǎn)賬是一個(gè)雙花嘗試，而比特幣最主要的架構(gòu)設(shè)計(jì)邏輯比如PoW以及長(zhǎng)鏈勝出就是用于防止雙花攻擊。”

“我的看法是，重要的token資產(chǎn)不適合構(gòu)建在erc 20基礎(chǔ)之上。它沒有任何貨幣安全設(shè)計(jì)的考慮。”

投資數(shù)字資產(chǎn)比傳統(tǒng)理財(cái)更需要技術(shù)頭腦，如何分辨一個(gè)項(xiàng)目是否運(yùn)用了UTXO模型，將決定你會(huì)在這場(chǎng)全新的數(shù)字理財(cái)中賺得人生第一桶金，還是跌出人生新陰影。

"??Z?t