EDU、BAI被曝智能合约漏洞，用户损失谁担责？

社区对SMT、BEC的智能合约漏洞还心有余悸，今日，智能合约安全问题再次上演， EDU、BAI智能合约也被曝存在重大漏洞。

智能合约漏洞频出

今早，据慢雾区消息，EDU 智能合约出现重大漏洞，可转走任意账户的 EDU Token。具体分析如下：在 transferFrom 函数中，未校验 allowed[_from][msg.sender] >= _value 并且函数内 allowed[_from][msg.sender] -= _value; 没有使用 SafeMath，导致无法抛出异常并回滚交易。

漏洞发现时已存在大量洗劫行为，攻击者不需私钥即可转走账户中的 EDU。而由于合约没有 Pause 设计，导致无法止损。

此前，EDU只在一家交易平台火币Pro进行交易，于今早发现合约漏洞问题后，火币Pro随即暂停了EDU相关交易对。根据非小号（feixiaohao.com）数据，5月20日凌晨起出现的抛售现象一直持续到停止交易。

祸不单行，今天上午，BAI 智能合约也被发现存在和 EDU 类似漏洞，可转走任意账户里的 BAI Token，同样存在大量洗劫行为。根据非小号（feixiaohao.com）数据，BAI已经上线三家交易平台CoinTiger、KKCoin、OTCBTC，24小时价格下跌45%，目前为0.0145元。

两项目团队随即发布公告分析了此次攻击事件，并提供了类似的解决方案：

将新发代币对智能合约进行升级，对异常账户出现前的资产地址进行快照，智能合约升级后根据快照按比例空投至原有代币地址。原代币将作废。

牵一发而动全身，用户损失谁背锅？

不过，智能合约漏洞造成的影响远不止单个项目投资者受损。据自媒体“区块律动”分析，从5月20日午夜开始，黑客利用无法提币的现货将比特币砸到7400美元，并在其他交易所做空比特币，成功“收割”期货和现货。

大量投资者遭受损失，除了项目团队对安全问题的忽视，上线相关代币的交易平台更是责无旁贷。火币Pro今天下午发布公告称，“正在对火币平台上的ERC20智能合约代码进行复审；同时，为了进一步加强安全防范，火币Pro决定联合全球知名的网络安全机构知道创宇，慢雾科技等公司对火币Pro已经上线的智能合约项目进行代码复审。未来，申请上线火币的项目方，需要提供火币认可的安全机构做出的审计报告。”

今年以来，多个基于ERC20的智能合约被曝存在安全漏洞，除了已经造成巨大影响的BEC、SMT、EDU、BAI，尚有多个存在安全隐患的智能合约代币依然在交易平台交易。

由于以太坊智能合约设计原理，为保持代币一致性，已发代币的智能合约极难修改，因此在设计之初一旦有安全隐患未被发现，后续无法修正，后患无穷。

再次提醒，项目方应做好自查，必要时请外部公司进行审计，交易平台应做好对项目方的审核工作和自身安全防护，投资者亦应注意风险。