中鏈傳媒潘旭東：智能合約現重大漏洞，數字資產瞬間流失，看真相_區塊鏈

Allrightsreserved區塊鏈媒體中鏈傳媒

區塊鏈項目投資成為市民投資熱點還處在小范圍階段，但這種理財卻因為去年的數字資產市場的火爆而勢頭強勁。

近期，數字產品從半個月前觸底以來，市場行情逐漸回暖，并在某些利好因素刺激下總市值持續攀升，投資者們更是按捺不住“激動”的心情，想在數字資產理財中大顯身手。

然而，4月25日，市場突然全線普跌，多支數字資產產品跌幅超過20%，更有SMT/USDT、SMT/BTC、SMT/ETH交易暫停。事出反常，必有妖。

IntoTheBlock：目前超過60%的BTC持有者處于盈利狀態:1月27日消息，加密貨幣分析平臺IntoTheBlock表示，由于近期BTC價格上漲，目前超過60%的BTC持有者處于盈利狀態，而就在不久前，這一數據跌至不到50%的BTC持有者盈利的低點。

據悉，50%的BTC持有者盈利水平一直是一個判斷的底部指標。[2023/1/27 11:32:29]

智能合約現重大漏洞，快看專家怎么說

4月22日，BEC發現重大漏洞，市值幾近歸零；

4月25日，SMT遭遇與BEC類似溢出攻擊。

Alameda Research和FTX Venture網站已無法被公共訪問:金色財經報道，Alameda 和 FTX 網站上的內容已經從 11 月 9 日開始逐步下線，現在 Alameda Research 和 FTX Ventures 的官方網站公共訪問似乎已被禁用，其中 FTX Ventures 的官方網站已無法打開，而 Alameda Research 的官方網站進入后顯示為“私人網站”，并提示該網站目前被設置為私人性，只有所有者或貢獻者，才可以登錄訪問。（cryptotvplus）[2022/11/11 12:52:27]

隨后，火幣Pro發布公告，決定暫停所有幣種的提充業務。

外媒：盡管受到制裁，幣安仍幫助伊朗公司交易了80億美元:11月4日消息，數據顯示，盡管美國制裁旨在切斷伊朗與全球金融體系的聯系，但自2018年以來，加密交易所幣安已經處理了價值80億美元的伊朗交易。據Chainalysis數據，幾乎所有資金（約78億美元）都在Binance和伊朗最大的加密貨幣交易所Nobitex之間流動。Nobitex在其網站上提供有關如何規避制裁的指導。通過幣安的四分之三的伊朗資金是Tron（應是Tron區塊鏈網絡），Nobitex鼓勵客戶使用Tron進行匿名交易，而不會“因制裁而危及資產”。在美國司法部對幣安進行調查之際，幣安表示不是一家美國公司，但已采取積極措施限制對伊朗市場的敞口。

路透社審查的數據顯示，自2018年以來，總計約29.5億美元的加密貨幣直接在伊朗交易所和幣安之間轉移。伊朗交易所和幣安之間通過中介層轉移了另外50億美元的加密貨幣。Chainalysis數據顯示，Nobitex用戶于2018年4月開始通過Binance轉移比特幣。從2020年8月起，Nobitex和Binance之間的Tron交易量激增。數據顯示，就在今年10月，2000萬美元的Tron直接在Binance和Nobitex之間流動。（路透社）[2022/11/5 12:18:26]

據悉，25日凌晨，SmartMesh項目方反饋發現交易異常，經排查，確認是其以太坊智能合約存在漏洞。

荷蘭一大學追回價值12倍原值的比特幣贖金:7月4日消息，荷蘭馬斯特里赫特大學在 2019 年遭到勒索軟件攻擊，最近成功追回了作為“贖金”支付給黑客的BTC。當時，黑客要求20萬歐元的BTC以換取移除勒索軟件，而大學支付了“贖金”用于數據恢復。當地調查部門在調查此案后，成功在烏克蘭找到了一個“贖金”約4萬歐元的銀行賬戶，并據此追回了1/5的比特幣。由于自2019年以來價格上漲，價值40,000歐元的BTC現在價值500,000歐元，是該機構支付的第一筆贖金的12倍多。 大學額外賺取了300,000歐元的利潤，同時贖回了200,000歐元的贖金。對此，該大學解釋說，它將用作資助有經濟困難的學生的基金。（finbold）[2022/7/4 1:50:12]

火幣Pro隨即緊急檢測，發現TXID為：0x0775e55c402281e8ff24cf37d6f2079bf2a768cf7254593287b5f8a0f621fb83的異常。

受此次攻擊影響，除了火幣Pro，OKEx，gate.io等交易平臺也先后暫停了SMT的充提和交易。

據來自Bullockchain的技術團隊分析：以太坊Token發行只提供了協議規范，并沒有統一、標準化過程，更沒有高性能、安全穩定的加密貨幣復式記賬所需要的UTXO模型。

ERC20智能合約雖然有著靈活性，但一旦出現問題，它本身所具有的不可逆性、不可篡改性，也會造成錯誤無法修改。

更為重要的是，Token溢出漏洞的產生，并不是以太坊本身合約造成的，而是因為基于以太坊發布Token時，數量的控制權在項目團隊手上，人為出現Bug，也是難以避免的。

一些項目，如Bullockchain項目那樣，開始運用比特幣成熟的技術、穩定的運行、安全的邏輯和統一、標準的Token發布模式，并采用經過考驗的UTXO模型進行記賬。Bullockchain就提供了一鍵發布Token的功能，在Bullockchain上用戶無需開發自己的智能合約，只需按簡單指令操作即可完成Token發布。在實際應用中，會最大限度地排除人為因素，可以有效避免每個團隊自主開發，造成漏洞。

重要的事情看三遍，問題可能比想象的更嚴重

受此事件影響的不僅僅是SMT和BEC，凡是基于ERC20體系開發的數字幣都有危險。有區塊鏈安全公司提出，包括：MEST、SMT、FirstCoin、CNYToken、MTC等多個ERC20智能合約遭受了proxyOverflow漏洞影響。也就是說這一系列可怕事件的根源存在于公鏈漏洞上。

TimYang，微博研發副總經理，發布個人微博認為：“最近的ERC20的轉賬的安全問題，直接原因都是代碼安全漏洞，由程序員背鍋，但大家比較少討論其深層次的原因，為什么以太坊比較容易出安全問題？

以太坊只是一個記錄dapp執行結果的區塊鏈，其本身并沒有加密貨幣復式記賬所需的utxo模型。以太坊自身的以太幣也是由balance來表示賬號余額，用余額的區塊鏈有一個明顯的缺陷，很容易遭受重放攻擊。以太坊用了nonce等tricky的做法避免主鏈貨幣重放，但對于基于dapp的代幣，就需要依賴開發者自己來保障其安全邏輯。

采用復式記賬的utxo則所有的轉賬需要檢查輸入來源，如果這個來源已經被使用過一次，則表示這次轉賬是一個雙花嘗試，而比特幣最主要的架構設計邏輯比如PoW以及長鏈勝出就是用于防止雙花攻擊。”

“我的看法是，重要的token資產不適合構建在erc20基礎之上。它沒有任何貨幣安全設計的考慮。”

投資數字資產比傳統理財更需要技術頭腦，如何分辨一個項目是否運用了UTXO模型，將決定你會在這場全新的數字理財中賺得人生第一桶金，還是跌出人生新陰影。

Tags：以太坊SMT區塊鏈以太坊幣是什么幣SMT幣SMT價格區塊鏈工程專業學什么區塊鏈存證怎么弄區塊鏈技術發展現狀和趨勢

XRP