为何OKEx和火币纷纷暂停以太坊ERC20代币充值?

2个回答

区块链每日解读5星评价

2020-05-13 14:30:56

因为ERC20被发现存在溢出攻击(BatchOverFlow)的可能

近期由于BEC以及SMT被黑客利用溢出攻击(BatchOverFlow),利用整数溢出漏洞,可以凭空创造大量虚假的虚拟货币,这类被黑客创造的虚拟货币也可以装入到交易所进行交易,这也就导致了BEC价格几乎归零。

其中SMT项目错误的函数如下:

function transferProxy(address _from, address _to, uint256 _value,uint256 _feeSmt,uint8 _v,bytes32 _r, bytes32 _s) public transferAllowed(_from) returns (bool)

这个函数没有进行整数上溢出检查。_feeSmt和value都是外部传入的参数。由于定义为uint256(256位无符号整数)

那么假设

_feeSmt = 8fffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff

value = 7000000000000000000000000000000000000000000000000000000000000001

那么_feeSmt + _value = 0,直接溢出,将可以绕过代码检查,自行制造大量的虚拟货币。

由于担心其他ERC20项目中也有类似的漏洞,所以交易所纷纷下架了ERC20项目代币。让各个项目对于自己的代码进行检查,看看是否还有存在整数溢出的问题。


小猩猩1235星评价

2020-05-13 14:31:09

这两天,在OKEx分别暂停了BEC和SMT交易和提现后,又暂停了所有以太坊ERC20代币的充值功能。

另一家交易所火币也是如此。

这个ERC20代币是什么?为什么会有这么大的风险?应该怎么处理我们手里的资产?

1、ERC20 Token

现在交易所上大家炒的币主要分为两种,一种有自己的链,一种没有,仅仅运行在以太坊等公链上。像比特币和以太坊这样的项目,都有自己的链,矿工挖的就是这种币。再比如前两天暴涨的比原链,昨天才有了自己的主网,才能用矿机挖矿。而EOS,要等到6月份主网上线才能挖矿,这也是最近EOS超级节点竞争的原因,他们在争夺挖矿权。

但是并不是每一种币都会有自己的主网,这是要根据每个token(也称为通证或代币)的使用功能和共识决定。有些token完全可以在以太坊或者其他公链上运行,不需要自己拥有主链。如果有些小项目发的token有自己主链的话,可能很容易被51%算力攻击,反而运行在其他公链上会比较安全。

根据每种token不同的应用场景,项目方会选择不同的公链,比如以太坊、NEO、量子链等等。当然最火的就是以太坊,绝大多数token就是发在以太坊上的,所以ICO基本都是用以太坊众筹。其实发币非常容易,之前网上的教程《5分钟教你在以太坊上发行自己的代币》,那些说的就是发行在以太坊上的ERC20 Token。发币容易也就导致了门槛很低,谁都能发个币,空气币层出也是由于这个原因。

最后说到ERC20代币,ERC即是Ethereum Request for Comments的简写,直译为以太坊征求意见,也可以说是以太坊开发者的协议提案。提案有很多版本,ERC20是最广为人知的标准之一,也是现在很多ICO代币使用的版本,诞生于2015年。ERC20简单说是token的一种,也是一种协议。这里不过多讨论技术,就不把代码搬上来了。

对代码感兴趣的可以打开下面链接https://github.com/ethereum/EIPs/blob/master/EIPS/eip-20.md

之所以称ERC20是代币的一种,是因为这个协议里规定了几个必须写的函数,这些函数定义了代币总量,代币转账方式等等。除了这个协议外,还有一个知名的ERC721代币。既然有两个不同的代币协议,他们发的token也是不同的。简单讲,ERC721 token中每个token都是独一无二的。最著名的就是以太猫这个游戏了,这个游戏就是使用的ERC721协议,因此每个以太猫都是独一无二的token,也是这个游戏的玩法。

2、现在面临什么问题?

这次以太坊智能合约上的安全漏洞叫做溢出攻击,简单说就是黑客发现了项目的代码漏洞,自己创造了好多之前设定并不存在的币。比如一个项目只发了10亿个ERC20代币,黑客却用漏洞自己又弄出了5亿个,他们把这些多出来的币充到交易所上卖出,对这个项目可以说是毁灭性地打击。

不过,以太坊ERC20的问题,和以太坊的构架也有关系。以太坊使用的是账户模型,比特币使用的是UTXO模型。解释一下,并不存在比特币这种币,比特币只是转账记录,每个币在转账时都能找到它的来源,不会凭空冒出来。但是以太坊的模式不是这样,所以才可能出现这种问题。

如果主网上线后就会回到自己的链上运行,也就不会出现上述以太坊智能合约的问题。EOS现在就是发行在以太坊上的ERC20代币,因为等到6月1日才会上线自己的主网。像EOS的主网映射过程就是先建立EOS主网钱包,再关联上现在暂时放在以太坊上EOS代币,然后等主网上线后就能直接将之前的ERC20代币映射到EOS主网上。

但是并不是所有项目以后都会有自己的主链,像上面所说的,小项目很容易被51%算力攻击。如果赞同以太坊的共识机制,而且以太坊也能满足项目需求的话,完全不需要自己搞出主链来,发在公链上反而更安全。

3、我们要怎样面对这种安全漏洞?

其实我们做不了什么,毕竟是项目方掌控着代码。现在的漏洞主要是“数据溢出”漏洞,黑客多搞出了很多代币,然后向市场抛售导致币价下跌。庆幸的是黑客不能转走我们钱包里的币,或者我们交易所账户里的币。因此交易所要暂停ERC20代币的充值,就是防止黑客将多搞出来的代币充到交易所上交易,套现。

我们现在能做的就是等着项目方排查他们的代码,保证不会再出现类似的行为。这样也能看出来,哪些项目靠谱,哪些项目连代码都不管了。


  • 为何OKEx和火币纷纷暂停以太坊ERC20代币充值?

    区块链每日解读5星评价

    因为ERC20被发现存在溢出攻击(BatchOverFlow)的可能近期由于BEC以及SMT被黑客利用溢出攻击(BatchOverFlow),利用整数溢出漏洞,可以凭空创造大量虚假的虚拟货币,这类被黑客创造的虚拟货币也可以装入到交易所进行交易,这也就导致了BEC价格几乎归零。其中SMT项目错误的函数如下:function traferProxy(addres...

  • OKEx暂停提币是怎么回事?

    无比想要一只8星评价

    2020年10月16日午间,知名加密货币交易所OKEx发布“暂停提币公告”称,近日该公司部分私钥负责人正在配合公安机关调查,目前正处于失联状态导致无法完成授权。因此于2020年10月16日11:00开始(香港时间),OKEx决定暂停用户提币。公告还称,“保证OKEx的其他功能正常”,资产安全不受影响”。OKEx交易所成立于2014年1月,其官方网站的联系地址...

  • 以太坊代币标准ERC20、ERC223分别是指什么?

    科技行者6星评价

    ERC20标准  ERC-20 标准是在2015年11月份推出的,使用这种规则的代币,表现出一种通用的和可预测的方式。简单地说,任何 ERC-20 代币都能立即兼容以太坊钱包(几乎所有支持以太币的钱包,包括Jaxx、MEW、imToken等,也支持 erc-20的代币),由于交易所已经知道这些代币是如何操作的,它们可以很容易地整合这些代币。这就意味着,在很多...

  • okex暂停提币会停多久?

    区块链叁点壹5星评价

    世事无常,如今的币圈也是多事之秋!前段时间,DeFi的利好浪潮刷屏,现阶段各大CEX交易所又频频出状况!除去现在热度最高的OKEx徐明星事件,中币ZB,库币,以及BITMEX都在出状况之列,略过中币和库币不谈,先从同为合约起家的BITMEX说起!BITMEX曾经是比特币(BTC)期货交易市场无可争议的领导者,BITMEX和OKEx一样都是币圈期货合约的佼佼者...

  • okex暂停提币什么时候恢复?

    天君已国佳人3星评价

    OKEx是最大的加密现货和衍生品交易所之一,已无限期暂停所有提币操作,理由是它与部分私钥持有人失去了联系。在官方声明中,该交易所详细说明,自10月16日上午11点(香港时间)起,该交易所已暂停所有提币。通知说:“我司部分私钥持有人目前正在配合公安局的调查,目前正处于失联状态导致无法完成授权。”该交易所指出了允许其采取如此严厉措施的服务协议,并强调做出这一决定...

  • okex交易所和火币哪个靠谱?

    币圈龙哥8星评价

    OKEX全球著名的数字资产交易平台之一,国人常说的三大头部交易所之一。前段时间徐老板参加海南会议并发表讲话,而后改名为欧科集团。我对徐老板和OK交易所印象深刻的是他说随时准备把交易所贡献给国家。OKEX和火币哪个靠谱呢?我的建议,你如果只做做现货交易、存币、场外OTC这些,OK和火币都可以放心大胆的用,没问题!如果你是做合约,两家交易所都要提防插针宕机!虽然...

  • 以太坊Defi投资为什么这么火?

    往日的悲伤3星评价

    其实DeFi这个概念出来已经有个两三年的时间了,19年都在平稳发展,但整体上,除了相关从业人员,一直没有获得过太多外界的关注。相较19年IEO的兴起,进入2020年,整个加密行业、加密市场,都缺乏一个带有财富效应的热点。尤其是在312传统金融市场史诗级大跌行情,进而带动整个币圈一轮暴跌,导致市场恐慌情绪蔓延。客观上,整个市场非常渴望能够出现一个传统金融领域的...