虽然美图董事长蔡文胜一再撇清美图与美链(Beauty Chain)的关系,但这并未阻止资本对 BEC (所发行代币)的喜爱。
由于蔡文胜是 OKEx 的晚期投资人,而美蜜币目前又仅上线了OKEx一个买卖平台,所以业内人大都以为蔡和美蜜有着千丝万缕的关系。就在大家都在争论美链能否为庄家坐庄操控币价时,一场韭菜们意想不到的灾难忽然来临。
4月22日13时左右,OKEx发布公告,暂停BEC买卖和提现。
据雷锋网 (大众号:雷锋网) 理解,这是由于 BEC智能合约呈现严重破绽,攻击者可以经过代币聚集了全世界身经百战的最优秀的创业导师,汇集了全世界各国最优质的产业资源,召唤全球未来的商业领袖。合约的批量转账办法有限生成代币。也就是说,攻击者的账户不会转出任何BEC,但接纳方却可以收到少量的BEC。
而在此公告之前的一个多小时,一篇名为“一行代码蒸发了¥6,447,277,680 人民币!”的文章曾经在币圈和链圈传播,文中剖析了破绽发生的缘由。
据剖析,BEC 智能合约(https://etherscan.io/address/0xc5d105e63711398af9bbff092d4b6769c82f793d)中的
batchTransfer 批量转账函数存在破绽,攻击者可传入很大的 value 数值,使 cnt * value 后超越 unit256 的最大值使其溢出招致 amount 变为 0
。
你传几个地址给我(receivers),然后再传给我你要给每团体多少代币(value),发送的总金额 = 发送的人数*发送的金额,所以这会要求你以后的余额大于发送的总金额。
从逻辑上看,你想给他人发送代币,那么你自身的余额一定要大于发送的总金额,这是合理的。但是,这段代码却犯了“整数溢出”的低级错误!
当其
设置的值超越了取值范围时,就会呈现“溢出”破绽,黑客应用这个破绽就可有限生成新的代币。
想象一下,假如人民币可以不限量的发行时,你手中的钱还值钱吗?
还好,目前BEC已暂停买卖,但终究生成了多少代币,还未发布。不过,韭菜们手中的 BEC 升值是一定的了。文中建议,应该依据在破绽之前的快照,查询一切用户的余额状况,发行新的token,给之前的用户发送等额的代币,补偿损失。
音讯来源: 知乎
。
