以太坊:輸入這串數字，你也能在這12種數字貨幣上獲利千萬_以太坊幣是什么幣

編者按：本文轉載自“區塊律動BlockBeats”，作者：，36氪經授權轉載。

昨日中午，黑客利用以太坊ERC-20智能合約中BatchOverFlow漏洞中數據溢出的漏洞攻擊蔡文勝旗下美圖合作的公司美鏈BEC的智能合約，成功地向兩個地址轉出了天量級別的BEC代幣，導致市場上海量BEC被拋售，該數字貨幣價值幾近歸零，給BEC市場交易帶來了毀滅性打擊。

區塊鏈安全公司PeckShield目前已經發現除了BECToken之外，還有超過12多個項目Token的智能合約中存在BatchOverFlow整數溢出漏洞，黑客可以利用這一漏洞轉賬生成「不存在」的虛擬貨幣并進行交易獲利。

被黑客攻擊的BEC交易量數小時內形成價格「瀑布」，幣值歸零。目前BEC官方團隊已經暫停一切交易和轉賬，將對Okex交易所的交易回滾到黑客充幣之前。

stUSDT總質押量突破4.5億美金，以太坊版stUSDT突破2000萬美金:8月1日消息，據官網數據，stUSDT總質押量已達到455,885,279USDT，突破4.5億美金。其中，波場版stUSDT達到435,885,276，突破4.3億美金，以太坊版stUSDT達到20,000,002，突破2000萬美金。stUSDT平臺已正式支持以太坊（Ethereum）網絡，用戶可通過以太坊網絡和TRON網絡進行質押USDT獲取stUSDT，并通過RWA投資獲得收益。

據悉，stUSDT是波場TRON生態中首個RWA（真實世界資產）賽道產品，現已通過去中心化平臺JustLend DAO運行。stUSDT平臺致力于通過智能合約在個人與機構投資者、加密世界與現實世界之間架設橋梁，提供面向所有人的更公平的 RWA 投資渠道。[2023/8/1 16:10:58]

黑客繞過驗證后生成“李鬼”幣

Sui已開放Token社區訪問計劃的資格查詢與信息收集:4月16日消息，Sui已開放Token社區訪問計劃的資格查詢與信息收集，用戶須在2023年2月1日之前一直活躍于Sui Discord方可通過驗證填寫表格，該表格用于為有資格購買Token作為表彰銷售（Recognition Sale）一部分的支持者收集基本信息。其中提交的信息將用于根據該計劃規定的標準驗證收件人，只有確認的收件人才會收到一封電子郵件以注冊交易平臺。此外Sui表示填寫此表格并不能保證購買資格分配，同時此表格不用于交易平臺的身份驗證或KYC。[2023/4/16 14:06:29]

PeckShield團隊今日凌晨發布安全報告，提到黑客利用in-the-wild手段抓取以太坊ERC-20智能合約中的「BatchOverFlow」這個整數溢出漏洞來進行攻擊。

報告：烏克蘭、印尼和俄羅斯第三季度的加密貨幣采用率增長最快:金色財經報道，DappRadar最近的研究結果顯示，盡管存在熊市和圍繞資產價格的不確定性，但加密貨幣的采用正在飆升。調查結果顯示，烏克蘭、印度尼西亞和俄羅斯的采用率增長最快，分別增長了143.17%、115.59%和88.28%。

美國繼續保持其最大加密貨幣市場的地位，印度以10.40%的增長超過俄羅斯，從第二名的位置上下來，而后者排名第四。印尼從第五位上升至第三位，流量激增115.59%。烏克蘭以143.7%的增長升至第五位，而英國則以6.40%的下降跌至第六位。尼日利亞上升12.52%，排名第七;菲律賓下降9.78%，排名第八。盡管保持了第九位，但越南的下降幅度最大，在本季度下降了49.30%。德國和巴西緊隨其后，分別下降3.38%和上升16.60%。（cryptopotato）[2022/10/31 11:59:37]

利用這個漏洞，黑客可以通過轉賬的手段生成合約中不存在的、巨量的Token并將其轉入正常賬戶，賬戶中收到的Token可以正常地轉入交易所進行交易，與真的Token無差別。

百度地圖首發地圖場景數字藏品:金色財經報道，6月25日，百度地圖攜手長城文旅、長城文創、百度超級鏈正式推出獨家長城書畫數字藏品，此次是首次在地圖場景下發行文旅行業數字藏品，共有嘉峪關、居庸關、山海關、雁門關、潼關、函谷關6款，每幅藏品限量2999份，均具有唯一標識，并被百度超級鏈記錄，在鏈上具有唯一可查性，用戶可在百度地圖App中直接購買。[2022/6/25 1:31:18]

PeckShield的安全預警報告中提到了該漏洞的具體細節，這個漏洞出現在BEC智能合約的batchTransfer函數當中，代碼如下圖所示。

大家請注意第257行，cnt和_value的計算結果生成了局部變量。第二個參數，即_value,，可以是一個任意的256字節整數，就比如是：0x8000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000。

通過將兩個_receivers注入到batchTranser()，再加上這個極其大的_value，我們就能使得量溢出，將其amount的量變成0。通過將量回歸到0，攻擊者就可以繞過258行到259行的合理性檢測，使得261行的差值變得不再相關。

最后，出現了一個非常有趣的結果：你們可以看262行到265行，兩個receriver的余額上增加了超級大的_value，而這一切都不會花費攻擊者錢包里哪怕一毛錢！

隨后PeckShield團隊利用自動化系統掃遍了以太坊智能合約并對它們進行分析。結果發現，有超過12個ERC-20智能合約都存在BatchOverFlow安全隱患。

為了驗證該漏洞存在的真實性，PeckShield團隊對其中一個智能協議進行了相似的攻擊。

PeckShield團隊還對一個未在交易所上線的以太坊寵物游戲CryptoBots進行了BatchOverFlow安全性攻擊，并成功地在該協議上「生成」了57,896,044,618,658,100,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000枚代幣CBTB。

總幣數已經超過合約規定的2萬枚CBTB。

CryptoBots這款游戲目前正在以太坊上進行交易，但通過數據查看后發現該游戲的實際游玩人數并不高，只有寥寥幾十人在玩。

PeckShield創始人蔣旭憲教授表示，「理論上可以把這個游戲中所有的道具都買下來。」

除了BEC和CryptoBots兩個智能合約之外，還有十余個智能合約存在同樣的漏洞，其中也包括已經在交易所上進行交易幣種。

出于安全考慮，目前PeckShield已經與相關項目團隊進行了聯系，暫時不能曝光這批項目的名稱。

區塊鏈安全難道只靠回滾？

BEC智能合約出現這個漏洞之后，黑客在2小時后開始往OKEx的地址充幣進行交易，因為市場上出現大量未知來源的Token，市場上出現恐慌心理，OKEx交易所上的持幣者開始拋售BECToken，導致BEC價格持續下跌，幣值幾乎歸零。

下圖中我們可以看到黑客先是試探性地往OKEx中轉入100萬的BECToken，黑客發現成功轉入賣出后，又分2次轉入了1000萬的BECToken，發現兩次都成功，便轉入了1億枚BECToken。

但這1億枚BECToken轉入后，OKEx已經發現問題并停止了BEC的交易。

按照轉入記錄，預計黑客已經賣出了最少1100萬枚BEC，折合昨日售價約1887萬人民幣。

下午4點12分，OKEx發布聲明中止了相關交易。BEC團隊也公告表示將與OKEx交易所合作回滾到黑客轉入Token之前的數據以保護投資者的權益。

PeckShield團隊認為，因為以太坊區塊鏈上所謂「代碼即一切」的原則精神的存在，導致目前沒有有效的安全防護手段來修復這些問題，而且因為Token交易背后牽扯著巨大的利益，是無法在多個交易所進行同步防護的。

因為中心化交易所只是對Token進行記賬式的交易，項目團隊與交易所配合之后回滾是可以一定程度上保護投資者利益的，但是如果在去中心化交易所進行交易那么投資者的損失將無法挽回，同時，利用交易所反應的時間差，黑客也可以實現在多個交易所套利。

知乎作者爬蟲認為該漏洞很容易解決，只需要對計算結果進行safeMath的安全驗證就可以，同時表示區塊鏈智能合約代碼需要測試、需要review，必要時可以請專門做代碼審計的公司來進行測試。

前有OKEx回滾期貨交易，后有OKEx回滾BEC交易，為什么區塊鏈上的安全問題總是要靠回滾來解決？如果沒法從根本上解決漏洞，那么受害的不僅僅是投資者，虛擬貨幣生態中的所有參與者都將遭受巨量損失。

Tags：BECatc以太坊BEC幣BEC價格atc幣是什么幣以太坊幣是什么幣

酷幣交易所