Author

Topic: BEC、SMT智能合约安全漏洞分析 — by YEE 区块链团队 (Read 179 times)

newbie
Activity: 140
Merit: 0
记得在这个事件出来之前,就已经有很多币,空头币产生这些问题,代码漏洞,黑客可以无线复制这些代币,然后砸盘,太多项目就是因为这样子而死掉的,当然他们都是垃圾项目,通过复制别人的合约来发币,结果亏得一塌糊涂。
他们都不太注重安全这个问题,党漏洞在今年1月分就出来的时候,没有几个人去检查自己的合约代码。
newbie
Activity: 140
Merit: 0
记得在这个事件出来之前,就已经有很多币,空头币产生这些问题,代码漏洞,黑客可以无线复制这些代币,然后砸盘,太多项目就是因为这样子而死掉的,当然他们都是垃圾项目,通过复制别人的合约来发币,结果亏得一塌糊涂。
newbie
Activity: 168
Merit: 0
这可真实币圈一大事件,一个国产项目很热,一个国外项目很热,都不是小团队,结果出了这么低级的漏洞,打开眼睛
member
Activity: 238
Merit: 10
国人背景的币还是不要碰了,大部分骗钱,都是不实际的项目,谨慎参与
這樣太絕對了吧,國人好的項目還是有的啊
member
Activity: 207
Merit: 11
bec割了一手的好韭菜。最近为什么代币有开始火起来了,牛市来了么。
member
Activity: 182
Merit: 10
The Experience Layer of the Decentralized Internet
其实像这一种,智能合约上面的安全漏洞,纯粹是基于以太坊上面开发出代币的团队技术太差搞出来的,跟以太坊一点关系都没有,但很多人却因此而觉得以太坊不好,我觉得太不公平了。
sr. member
Activity: 868
Merit: 251
国人背景的币还是不要碰了,大部分骗钱,都是不实际的项目,谨慎参与
jr. member
Activity: 80
Merit: 3

加入YeeCall中文官方群,与其他币民一起聊聊呗:http://doodle.yeecall.com/shares/invite?id=5a9fe209e4b00e6277c881d0
jr. member
Activity: 80
Merit: 3
哎,好气啊之前买了几万块,看跌得厉害就卖掉了,现在一看涨了几倍

加入YeeCall中文官方群,与其他币民一起聊聊呗:http://doodle.yeecall.com/shares/invite?id=5a9fe209e4b00e6277c881d0
newbie
Activity: 96
Merit: 0
哎,好气啊之前买了几万块,看跌得厉害就卖掉了,现在一看涨了几倍
member
Activity: 140
Merit: 12
坑爹的币,上次买了点,结果跌成翔,然后我割肉了。。。
割了总比归零好太多了。
newbie
Activity: 92
Merit: 0
坑爹的币,上次买了点,结果跌成翔,然后我割肉了。。。
jr. member
Activity: 80
Merit: 3
好吧,这个,我只能顶下贴了,因为我看不懂

感谢!区块链技术确实需要长时间的学习和技术积累。
jr. member
Activity: 80
Merit: 3
这种问题去年底就出现了,很多合约不严格,被无限复制。

目前行业内确实有很多技术不成熟、不严谨的团队,这会给投资人带来很大的风险和损失,投资时一定要擦亮双眼,多了解一下。
member
Activity: 140
Merit: 10
这种问题去年底就出现了,很多合约不严格,被无限复制。
jr. member
Activity: 80
Merit: 3
近来,BEC、SMT的智能合约漏洞给很多区块链从业者带来了恐慌。我们先来看看案发现场:


上图,利用BEC漏洞创造出巨额token


上图,利用SMT漏洞创造出巨额token

YEE区块链团队第一时间查阅了BEC、SMT的代码,BEC的合约漏洞是BatchTransfer漏洞中的数据溢出,SMT的合约漏洞是代理转账逻辑中没有进行大数保护,造成大数溢出,这两个问题的根本原因是没有使用library SafeMath,使用了普通的加减乘除。

比如BEC漏洞中这个乘法没有使用library SafeMath,而是用了“*”,这就造成了数据溢出。



同样道理,SMT的智能合约的错误代码没有使用官方的library SafeMath,而使用了普通的“+”,这造成了在代理转账逻辑中没有进行大数保护,最终造成大数溢出。



正确的方式应该像我们的这段代码就是用library SafeMath函数来完成智能合约代码,这样可以保证智能合约代码的安全稳定。



现在发现的漏洞中有很多代码是因为直接使用普通的加减乘除,同时缺少溢出判断,这就造成数据溢出的隐患,而使用library SafeMath可以彻底解决数据溢出的问题。因此,解决方案也很简单,彻查智能合约代码,把“+”“-”“*”“/”换成library SafeMath,这可以彻底解决数据溢出的问题。

YEE也在这里希望所有区块链从业者在关注出席会议、媒体曝光的同时,应将更多注意力关注到技术层面,只有安全的技术才能保障区块链产品的正常运行,让更多人享受到区块链带来的各种服务。

YEE落地产品YeeCall这个产品本身就面临着巨大的技术挑战,我们在全球布网,从零建设起了一张拥有5个数据中心、400多个中继节点的覆盖全球的通讯网络,这张网络一度被AWS、澳洲电信称之为全球通讯网络的“最后一公里”。为了解决手机端通讯的复杂环境和超多终端支持问题,我们除了一行一行代码敲出了完全拥有自主知识产权的通讯协议,还创造性采用人工智能的方法来解决噪音消除问题,所有这一切,都是为了让广大的YeeCall用户体验更好,与家人和朋友的沟通更紧密。

我们热爱技术,拥抱区块链,也欢迎Java、服务器、Android、iOS、区块链技术方面的有识之士加入YEE团队,共同打造区块链的美好未来,邮箱:[email protected]
Jump to: