SMT与BEC的漏洞只是程序员失误这么简单么？

4月25日消息，火币Pro发布公告称，SMT项目方反馈今日凌晨发现其交易存在异常问题，经初步排查，SMT的以太坊智能合约存在漏洞，暂时停止所有币种充提。同时，OKEx发布公告称，4月25日04时（HKT）左右，SMT出现异常交易，应SMT项目方的要求，暂时关闭SMT/USDT、SMT/BTC、SMT/ETH的交易和SMT的提现。

据了解，SMT发现与前几日爆出的美图BEC代币类似的安全漏洞，可通过溢出攻击可以收到大量的代币。

BEC事件回顾

4月22日中午，BEC美蜜遭遇黑客的毁灭性攻击，天量BEC从两个地址转出，引发了市场抛售潮。当日，BEC的价值几乎归零。

前一日黑客操作的交易记录是 0xad89ff16fd1ebe3a0a7cf4ed282302c06626c1af33221ebe0d3a470aba4a660f。

系统数据显示，该黑客利用以太坊 ERC-20 智能合约中数据溢出的漏洞，在昨日的攻击中凭空转出57,896,044,618,658,100,000,000,000,000,000,000,000,000,000,000,000,000,000,000.792003956564819968 个 BEC。转出数量远远超过了BEC的发行总数70亿枚，市场顿时陷入疯狂抛售，BEC近65亿元人民币的市值也几乎瞬间归零。

而攻击成功的原因，居然是因为BEC的某一段代码忘记使用safeMath方法，导致系统产生了整数溢出漏洞。据PeckShield 团队今日凌晨发布的安全报告，黑客利用 in-the-wild（一种从代码中抓取漏洞的手段）方法，从BEC的程序中抓取到了漏洞，并发动了攻击。

利用这个漏洞，黑客可以通过转账的手段生成合约中不存在的代币， 并将这些无中生有的数字货币转入正常账户。这些凭空产生的代币在使用上与真实代币没有差别。

多个ERC20智能合约或将受到影响

“最近的 ERC20 的转账的安全问题，直接原因都是代码安全漏洞，由程序员背锅，但大家比较少讨论其深层次的原因，为什么以太坊比较容易出安全问题？以太坊只是一个记录 dapp 执行结果的区块链，其本身并没有加密货币复式记账所需的 utxo 模型。重要的 token 资产本身是需要货币级别的安全程度，以太坊目前的设计更适合游戏积分之类的合约运行结果。”微博研发副总经理Tim Yang发布个人微博这样说。

因此，他强调，重要的 token 资产不适合构建在 ERC20 体系基础之上。

出问题的只是BEC和SMT吗？问题可能比想象的严重得多。区块链安全公司 PeckShield发出预警称，多个ERC20智能合约遭受proxyOverflow漏洞影响，其检测定位到大量的ERC20 Token都受此影响，包括：

这两次事件只是巧合都是人为因素导致的，但换个角度来看，出现这种低级错误而且还是在之前有过案例的情况下出现，这能说明什么，相信投资者都心知肚明了。

「声明：文章仅作信息传递，不构成投资建议」

如果想咨询区块链相关事宜请后台私聊首席区块链！

另外大家发现任何关于区块链企业的问题，也请私聊首席区块链！

首席区块链，您身边的区块链秘书！