Erc-20漏洞百出,Variant能抵抗量子计算机的攻击

近日,压抑了许久的数字货币终于走出寒冬,开始回暖,以EOS为首,带动比特币、以太币等大涨。截至北京时间25日17:15,EOS近七日涨幅涨幅高达66 31%,B

近日,压抑了许久的数字货币终于走出寒冬,开始回暖,以EOS为首,带动比特币、以太币等大涨。

截至北京时间25日17:15,EOS近七日涨幅涨幅高达66.31%,BCH近七日上涨61.82%,ETH、XRP涨幅均超过26%,BTC涨16.37%至9327.2美元。行情图上一片春意盎然,万里江山一片红。

但币友们还未来得及弹冠相庆,一则噩耗为刚刚回暖的币市蒙上一层阴影:因SMT也被曝出现与BEC类似的漏洞,火币、OKEx双双暂停了SMT交易。

BEC、STM接连曝光安全漏洞,一时间,ERC-20漏洞问题引发业内广泛讨论。如果没法从根本上解决漏洞,那么受害的不仅仅是投资者,虚拟货币生态中的所有参与者都将终日提心吊胆。

十几款ERC-20智能合约存在整数溢出漏洞

22日,黑客利用以太坊ERC-20智能合约中BatchOverFlow漏洞中的数据溢出的漏洞,攻击了BEC智能合约,通过合约的批量转账方式无限生成代币,成功向两个地址转出了天量级别的BEC代币,瞬间引发BEC抛售潮,BEC 64亿价值几乎归零。

黑客先是试探性地往OKEx中转入100万的BEC Token,成功转入卖出后,又分2次转入了1000万的BEC Token,发现两次都成功,便转入了1亿枚BEC Token。

发现问题后,OKEx当即停止了BEC的交易。BEC团队也公告表示将与OKEx交易所合作回滚到黑客转入Token之前的数据以保护投资者的权益。

BEC风波未平,另一款加密数字货币SMT也被爆出现类似漏洞。

4月25日上午,火币Pro发布公告,虚拟币SMT项目方反馈当日凌晨发现其交易存在异常问题,经初步排查,SMT的以太坊智能合约存在漏洞。火币Pro也同期检测到TXID为0x0775e55c402281e8ff24cf37d6f2079bf2a768cf7254593287b5f8a0f621fb83的异常。受此影响,火币Pro暂停所有币种的充提币业务。

与此同时,OKEx也已暂停了SMT交易。

早在BEC事件之后,区块链安全公司Peck Shield的团队利用自动化系统扫遍了以太坊智能合约并对它们进行分析。结果发现,除BEC Token之外,有超过12个ERC-20智能合约都存在BatchOverFlow整数溢出漏洞,其中也包括已经在交易所上进行交易的币种。黑客可以利用这一漏洞转账生成不存在的Token,并转入交易所正常交易获利,与真的Token无异。

Peck Shield团队23日凌晨发布安全报告,提到黑客利用in-the-wild手段抓取以太坊ERC-20智能合约中的BatchOverFlow这个整数溢出漏洞来进行攻击。

而这一切都源于一个简单至极的程序Bug。Peck Shield的安全预警报告中提到了该漏洞的具体细节,这个漏洞出现在ERC20智能合约的batch Transfer函数当中,代码如下图所示:

为了验证该漏洞存在的真实性,Peck Shield团队对一个未在交易所上线的以太坊宠物游戏CryptoBots进行了BatchOverFlow安全性攻击,最终成功地在该协议上生成了CBTB代币。

Peck Shield认为,因为以太坊区块链上所谓“代码即一切”的原则精神的存在,导致目前没有有效的安全防护手段来修复这些问题,而且因为Token交易背后牵扯着巨大的利益,是无法在多个交易所进行同步防护的。因为中心化交易所只是对Token进行记账式的交易,项目团队与交易所配合之后回滚是可以一定程度上保护投资者利益的,但是如果在去中心化交易所进行交易那么投资者的损失将无法挽回,同时,利用交易所反应的时间差,黑客也可以实现在多个交易所套利。

在BEC事件中,在OKEx发现异常并停止OKEx交易前,按照转入记录,预计黑客已经卖出了最少1100万枚BEC,折合当时的价格约1887万人民币。

前有BEC被攻击,后有STM出现类似漏洞,ERC-20整数溢出漏洞犹如一枚定时炸弹,我们的数字资产将如何安放?

Variant-LWE加密方案可抵御量⼦计算机攻击

与EOS主网上线差不多同期,另一个公有链项目Variant也将实现智能合约、POS、和AI挖矿算法的主网上线。

Variant全称为Variant Network,是全球首个基于UTXO模型的分片(sharding)算法的公有链项目,是融合IPFS和AI的新一代智能合约区块链3.0平台。

Variant主攻方向为IPFS、AI、原子跨链,侧链、闪电网络、DAG、分片、Variant-LWE(Learning With Errors)加密算法等,以提高平台的TPS速度和处理能力,以及可扩展性,实现链上链下的数据交互,团队也研发如何较好地隐私保护机制和更符合现实的通证经济模型。

针对安全问题,Variant联合创始人ARRONWANG博士此前在接受媒体采访时指出,Variant拥有密码学方面的人才,也会研究新的密码学,推出新的密码算法。

据悉,Variant的研究⼈员提出⼀种名为Variant-LWE的加密方案,来研究抵抗量⼦计算机的攻击。Variant-LWE参考了后量⼦密码(post-quantumcryptography)的协议基础,它被认为是能够抵抗量⼦计算机攻击的密码体制,其计算安全性据信可以抵御当前已知任何形式的量⼦攻击。

Variant拥有一支国际顶尖团队,联合创始人ARRONWANG是清华大学经济学博士、德国慕尼黑工业大学博士;联合创始人ANDREWEARLS毕业于德国慕尼黑工业大学,精通C++,GO语言,主攻计算机科学,具有十几种数字货币设计经验和互联网金融开发经验。Variant核心成员还包括原量子的核心开发工程师,以太坊社区智能合约深度开发者,原lisk核心开发工程师,原惠普GO语言研究员,早期操作系统核心开发者,Azure早期设计者,原百度CMD,原MOI Global商务总监;顾问包括斯坦福大学和上海交通大学的教授等。

除了在安全漏洞方面的优势,Variant的算法显著提高了交易吞吐量,Proof of AI共识算法赋予了区块链机器学习的能力,智能合约虚拟机融合IPFS解决了大数据存储的痛点。Variant致力于让算力为社会产生真正的价值,不断突破区块链的能力边界让去中心化应用的落地成为可能。

据了解,Variant目前已对接多家交易所,即将实现智能合约、POS、和AI挖矿算法的主网上线,将在5月对全球用户进行糖果空投。

Variant平台在发行前将经过一系列严格测试,其中包括软件功能性测试、P2P网络性能测试、潜在攻击向量测试、可靠性测试,安全审计和代码审核,Alpha版本测试,Bata版本测试,通过完善的软件测试流程,来控制软件质量。