不只忙于赚钱，交易所应展开安全漏洞排查

智能合约安全公司Quantstamp在对加密交易所币安进行了检测审核后，给出了一份安全报告。Quantstamp称，币安上架的ERC20通证并未受到最近发现的batchOverflow和proxyOverflow漏洞的影响。

除了赚钱以外，加密交易所有义务对本平台上架的项目就智能合约技术展开严格谨慎的安全评估，保证交易资产的安全性，维护平台用户的利益。

智能合约技术并不安全

智能合约本质上是一种由代码编就的计算机协议，允许没有第三方参与的情况下，执行合同交易条款。因为交易信息的透明化、可追踪和不可篡改特性，智能合约被认为是安全、可靠、便捷的代名词。

但是，技术发展的过程中必然伴随安全问题。虽然智能合约本身没有问题，但编写代码的人类会犯各种疏漏。再加上，程序员缺乏相关的专业知识以及源代码的测试不足，智能合约很容易出现各种安全漏洞。因为代码漏洞、算法漏洞、系统漏洞等问题，数字资产被盗事件时有发生。

2016年6月17日，以太坊区块链上最大的众筹项目The DAO遭到攻击，大约300万枚以太币，市值近5000万美元的资产被分离出资产池，导致The DAO直接宣布破产。

2017年7月21日，智能合约编码公司警告以太坊Parity电子钱包1.5版本及其之后的版本存在漏洞，据Etherscan.io的数据确认，有价值3000万美元的以太币被盗。

2017年11月8日，以太坊Parity钱包再爆重大安全漏洞，多重签名代码存在未设权限漏洞，导致上亿美元资金被冻结，用户无法正常使用和交易。

2018年4月22日，凌晨3:30左右（世界标准时间），区块链安全公司派盾科技PeckShield监测到有黑客利用智能合约漏洞对BEC（美链发行的Token）进行大型攻击，无限量增发Token。攻击者成功向两个地址转出了巨量的BEC，导致市面上BEC被大量抛售，64亿人民币等值的BEC几乎归零。

无独有偶，三天后，即2018年4月25日，另一个智能合约SmartMesh（SMT）也曝出安全漏洞。

2018年7月8日，降维安全实验室（johnwick.io）监控到AMR合约存在高危安全风险交易。通过代码分析，派盾科技PeckShield的安全团队表示，该漏洞本质上与batchOverflow一致，都是由于整数溢出导致保护机制失效，黑客利用漏洞无限生成Token。

batchOverflow漏洞

派盾科技PeckShield把针对batchOverflow漏铜的攻击称为野性的。

派盾科技PeckShield指出，batchOverflow本质上是一个典型的整数溢出问题。漏洞位于该智能合约第257行的batchTransfer函数内部，黑客利用多个数字加总后溢出的手段实施攻击，增发了天量的Token。

第257行代码显示，局部变量amount的计算结果来自cnt和_value的乘积。第二个参数，也就是_value，可以是任意的256位整数。如果有两个_receiver传递到batchTransfer()函数，再加上这个极大的_value，amount的计算结果就会溢出，然后变成0。当amount的结果变成0的时候，攻击者就可以轻松地通过第258~259行的完整性检查，同时第261行的减法运算也就变得无关紧要。这就会产生一个有趣的现象：攻击者不用花掉一分钱，就能够得到很多的转移资产。

目前有超过12个基于ERC20的智能合约受到batchOverflow的影响。对于已经发生的智能合约攻击事件，无论是资产冻结还是各种分叉，带来的损失都是无法挽回的。

发布batchOverflow漏洞之前，PeckShield团队已经联系了BEC智能合约背后的运营团队。然而，以太坊区块链宣扬代码即法律的原则，所以并没有传统意义上的安全响应机制来纠正这些漏洞百出的合约！另外，因为这些Token本身的潜在价值，作为第三方独立安全团队，PeckShield没有办法暂停相应Token在各大交易所的交易行为。

交易所不应只顾赚钱

幸运的是，得知batchOverflow漏洞之后，OKEx当即宣布暂停BEC的充提和交易业务，甚至决定在调查期间，暂停所有ERC20通证的充值功能。在极特殊情况下，回滚交易。派盾科技PeckShield呼吁，其他的交易所也需要做出相应的工作调整。

4月25日，SMT智能合约再爆类似漏洞之后，火币和OKEx相继暂停了SMT交易。之后，火币又决定暂停所有币种的充提币业务。

各加密交易所的上币规则都强调严格的尽调程序。面对频频出现的安全漏洞，投资者不禁会质疑：上架之前，这些加密币到底有没有接受严格的审核程序？难道，交易所只负责收钱吗？

交易所或可联合各方力量，展开安全排查

此次，币安联合智能合约安全公司Quantstamp，对交易所现存的所有ERC20通证进行安全审核，帮助保护了加密资产持有者和以太坊社区的利益，有利于维护整个加密市场的稳定和繁荣。对于其他加密交易所，这未尝不是一种可以借鉴的方法。

目前市面上还存在其他的加密币极易遭受batchOverflow的影响。另外，非中心化的交易所因为提供离线交易服务，风险挑战会更大，因为这些交易所无法阻止攻击者的洗钱行为。

具体来说，攻击者很可能通过这些合约漏洞，无限量生成大量的加密资产。如果再拿到交易所兑换成高价值币种，比如BTC、ETH，甚至美元，资产损失将更大。由于智能合约还没有防止这种情况发生的规定，攻击者成功创建的加密资产，甚至可以远远超过Token的原始供应量。那么，操纵相关加密币种价格的情况，更是轻而易举。