输入这串数字，你也能在这12种数字货币上获利千万

编者按：本文转载自“区块律动BlockBeats”，作者：，36氪经授权转载。

昨日中午，黑客利用以太坊ERC-20智能合约中BatchOverFlow漏洞中数据溢出的漏洞攻击蔡文胜旗下美图合作的公司美链BEC的智能合约，成功地向两个地址转出了天量级别的BEC代币，导致市场上海量BEC被抛售，该数字货币价值几近归零，给BEC市场交易带来了毁灭性打击。

区块链安全公司PeckShield目前已经发现除了BECToken之外，还有超过12多个项目Token的智能合约中存在BatchOverFlow整数溢出漏洞，黑客可以利用这一漏洞转账生成「不存在」的虚拟货币并进行交易获利。

被黑客攻击的BEC交易量数小时内形成价格「瀑布」，币值归零。目前BEC官方团队已经暂停一切交易和转账，将对Okex交易所的交易回滚到黑客充币之前。

香港金管局：将率先监管那些标榜与法币价值挂钩的稳定币:4月29日消息，香港金融管理局在其今日发布的《2022年年报》中表示，2023年的重点将会包括虚拟资产等，金管局在有关过程中会参考市场最新发展及国际标准的修订。为促进虚拟资产行业可持续及负责任地发展，金管局会积极参与相关国际组织，并与政府及其他金融监管机构合作，制定全面的虚拟资产监管架构。

金管局将继续制定灵活及以风险为本的稳定币监管制度，以能在应对稳定币可能带来的货币及金融稳定风险的同时，支持金融创新与市场发展。金管局将着手制定更详细的监管要求，过程中会考虑多项因素，包括最新市场发展、国际机构就稳定币监管提出的建议与良好做法，以及就加密资产和稳定币讨论文件收到的回应。金管局亦会继续积极参与有关稳定币的国际讨论，以及留意主要市场在加密资产方面的发展。

经考虑公众咨询收集到的意见及相关国际标准后，金管局将采纳“相同风险，相同监管”的方式制定稳定币的监管制度及界定其监管范围。“未来我们率先规管的对象将是那些标榜与一种或以上法定货币的价值挂钩的稳定币”，因为这类稳定币可能对货币及金融稳定带来更高及更迫切的潜在风险。[2023/4/30 14:35:12]

黑客绕过验证后生成“李鬼”币

加密货币委员会顾问：公平对待加密货币行业是可能的但需要“大量工作”:金色财经报道，3月29日，在香港举行的World of Web3（WOW）峰会上，Crypto Council for Innovation顾问和Odsy Network的联合创始人Sean Lee表示，在美国公平对待加密货币行业是可能的。在2008年金融危机之后，金融改革得到了解决，所以没有理由不对加密货币进行同样的处理。但这将需要大量的工作，通常在大规模的危机之后才会实施，而我们现在就有这种情况。[2023/3/30 13:35:07]

PeckShield团队今日凌晨发布安全报告，提到黑客利用in-the-wild手段抓取以太坊ERC-20智能合约中的「BatchOverFlow」这个整数溢出漏洞来进行攻击。

利用这个漏洞，黑客可以通过转账的手段生成合约中不存在的、巨量的Token并将其转入正常账户，账户中收到的Token可以正常地转入交易所进行交易，与真的Token无差别。

多链DEX ApeSwap与MoonPay达成合作，支持使用法定货币购买加密货币:7月22日消息，基于Polygon、BNB Chain的多链DEX ApeSwap与MoonPay达成合作，用户可以通过ApeSwap网站上的信用卡或借记卡通过其新的MoonPay集成使用法定货币购买加密货币。[2022/7/22 2:32:09]

PeckShield的安全预警报告中提到了该漏洞的具体细节，这个漏洞出现在BEC智能合约的batchTransfer函数当中，代码如下图所示。

大家请注意第257行，cnt和_value的计算结果生成了局部变量。第二个参数，即_value,，可以是一个任意的256字节整数，就比如是：0x8000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000,0000。

耶伦：国会必须推进数字资产监管:6月17日消息，美国财长耶伦表示，国会必须推进数字资产监管。

此前金色财经报道，美国财长将与银行业高管讨论加密货币。（金十）[2022/6/17 4:33:35]

通过将两个_receivers注入到batchTranser()，再加上这个极其大的_value，我们就能使得量溢出，将其amount的量变成0。通过将量回归到0，攻击者就可以绕过258行到259行的合理性检测，使得261行的差值变得不再相关。

最后，出现了一个非常有趣的结果：你们可以看262行到265行，两个receriver的余额上增加了超级大的_value，而这一切都不会花费攻击者钱包里哪怕一毛钱！

随后PeckShield团队利用自动化系统扫遍了以太坊智能合约并对它们进行分析。结果发现，有超过12个ERC-20智能合约都存在BatchOverFlow安全隐患。

为了验证该漏洞存在的真实性，PeckShield团队对其中一个智能协议进行了相似的攻击。

PeckShield团队还对一个未在交易所上线的以太坊宠物游戏CryptoBots进行了BatchOverFlow安全性攻击，并成功地在该协议上「生成」了57,896,044,618,658,100,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000枚代币CBTB。

总币数已经超过合约规定的2万枚CBTB。

CryptoBots这款游戏目前正在以太坊上进行交易，但通过数据查看后发现该游戏的实际游玩人数并不高，只有寥寥几十人在玩。

PeckShield创始人蒋旭宪教授表示，「理论上可以把这个游戏中所有的道具都买下来。」

除了BEC和CryptoBots两个智能合约之外，还有十余个智能合约存在同样的漏洞，其中也包括已经在交易所上进行交易币种。

出于安全考虑，目前PeckShield已经与相关项目团队进行了联系，暂时不能曝光这批项目的名称。

区块链安全难道只靠回滚？

BEC智能合约出现这个漏洞之后，黑客在2小时后开始往OKEx的地址充币进行交易，因为市场上出现大量未知来源的Token，市场上出现恐慌心理，OKEx交易所上的持币者开始抛售BECToken，导致BEC价格持续下跌，币值几乎归零。

下图中我们可以看到黑客先是试探性地往OKEx中转入100万的BECToken，黑客发现成功转入卖出后，又分2次转入了1000万的BECToken，发现两次都成功，便转入了1亿枚BECToken。

但这1亿枚BECToken转入后，OKEx已经发现问题并停止了BEC的交易。

按照转入记录，预计黑客已经卖出了最少1100万枚BEC，折合昨日售价约1887万人民币。

下午4点12分，OKEx发布声明中止了相关交易。BEC团队也公告表示将与OKEx交易所合作回滚到黑客转入Token之前的数据以保护投资者的权益。

PeckShield团队认为，因为以太坊区块链上所谓「代码即一切」的原则精神的存在，导致目前没有有效的安全防护手段来修复这些问题，而且因为Token交易背后牵扯着巨大的利益，是无法在多个交易所进行同步防护的。

因为中心化交易所只是对Token进行记账式的交易，项目团队与交易所配合之后回滚是可以一定程度上保护投资者利益的，但是如果在去中心化交易所进行交易那么投资者的损失将无法挽回，同时，利用交易所反应的时间差，黑客也可以实现在多个交易所套利。

知乎作者爬虫认为该漏洞很容易解决，只需要对计算结果进行safeMath的安全验证就可以，同时表示区块链智能合约代码需要测试、需要review，必要时可以请专门做代码审计的公司来进行测试。

前有OKEx回滚期货交易，后有OKEx回滚BEC交易，为什么区块链上的安全问题总是要靠回滚来解决？如果没法从根本上解决漏洞，那么受害的不仅仅是投资者，虚拟货币生态中的所有参与者都将遭受巨量损失。

标签：BECatc以太坊BEC币BEC价格atc币是什么币以太坊币是什么币

狗狗币最新价格热门资讯