SECBIT: 美链(BEC)合约安全事件分析全景

最新推荐文章于 2024-03-04 14:29:28 发布
最新推荐文章于 2024-03-04 14:29:28 发布
阅读量4k 收藏 3
点赞数 2
分类专栏: 安全事件 文章标签: 智能合约 区块链 以太坊 solidity 安全审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/secbit/article/details/80045167
版权
本文分析了美链BEC智能合约出现的重大漏洞,该漏洞允许攻击者无限生成代币。问题出在批量转账函数的整数溢出,虽其他函数使用了防溢出库,但在关键位置遗漏了检查。建议采用数学计算库避免此类问题,并提醒区块链项目重视上线前的安全审计。
摘要由CSDN通过智能技术生成

今天下午2点多,币圈链圈各个媒体突然爆料 美图科技发行的数字货币——美链(BEC) 的Token 智能合约出现重大漏洞,攻击者可无限生成代币。

【小葱独家:BEC合约出现重大漏洞,攻击者可无限生成代币】OKEx今日发布最新公告称,暂停BEC交易和提现。据小葱APP了解,这是因为BEC美蜜合约出现重大漏洞,攻击者可以通过代币合约的批量转账方法无限生成代币。 小葱注:美链今年2月在OKex上线BEC交易。美链和美图公司合作帮助美图旗下的BeautyPlus提升内容价值和市场占有率,同时Beautyplus作为美链的种子应用,协助美链的冷启动。美链发的Token叫做美蜜BEC。

美链官方声明
这里写图片描述美链官方声明

坊间传闻下午时候,美链团队发现异常交易,于是立刻通知各交易所,停止 BEC 的交易和提现功能。正好实验室的同事们忙里偷闲,一起分析了下这个出问题的合约代码。

这个漏洞比较明显,属于常见的 整数溢出(overflow)问题

下面我们来简单分析下这个出问题的合约函数:

function<
最低0.47元/天 解锁文章
安比实验室SECBIT
关注
专栏目录
从技术层面浅析美链BEC从诞生到覆灭
hejia729371286的博客
05-16 4468
4月22日下午13时左右,才发行两个月左右的BEC美蜜合约出现重大漏洞,黑客通过合约的批量转账方法无限生成代币。天量BEC从两个地址转出,引发抛售潮。当日,BEC的价值几乎归零。 蔡文胜与美链之间的公开秘密美链BEC)于2月23日下午16:00左右开盘,价格为0.09美元,随后犹如火箭般扶摇直上,一度飙涨至80美元,紧接着又下跌为4美元,短短一天时间内,涨幅高达4000%。根据美链的白皮书介绍,...
以太坊开发】BeautyChain (BEC) 溢出漏洞分析
秋天的博客
07-20 1458
  前言 2018年4月23日中午11点30分左右,BEC代币被Hacker攻击。 Hacker利用数据溢出的漏洞攻击与美图合作的公司美链 BEC智能合约,成功地向两个地址转出了天量级别的 BEC 代币,导致市场上海量 BEC 被抛售,该数字货币价值几近归零,给 BEC 市场交易带来了毁灭性打击。 下面我们来分析一下此次受攻击的漏洞,作为前车之鉴。 一、Token地址: https:...
美链BEC合约漏洞技术分析
深入浅出区块链
04-26 1495
这两天币圈链圈被美链BEC智能合约的漏洞导致代币价值几乎归零的事件刷遍朋友圈。这篇文章就来分析BEC智能合约的漏洞 漏洞攻击交易 我们先来还原下攻击交易,这个交易可以在这个链接查询到。 我截图给大家看一下: 攻击者向两个账号转移57896044618…000.792003956564819968个BEC,相当于BEC凭空进行了一个巨大的增发,几乎导致BEC价格瞬间归零。 下面我们来...
大话 美链 BEC 合约溢出漏洞
失心疯的博客
10-06 771
目录 技术分析 0x01 事件回顾 市值一度突破280亿美金“全球第一个基于区块链技术打造的美容生态链平台”BEC(Beauty Chain)在2018年4月22日遭到攻击者0x09a34e***ed5fe93c利用溢出漏洞缺陷。 在开始详细的细节剖析之前,需要先了解一些技术背景作为铺垫。 0x02 技术背景 事件影响 美链 BEC 合约漏洞技术分析 0x02 漏洞复现 Remix 在线部署...
工控安全职业证书技能实践:攻击事件攻击路径分析.pptx
07-13
本实践课程聚焦于工控安全职业证书的相关知识,特别是PLC的安全隐患与攻击路径分析。 首先,PLC的嵌入式系统漏洞是一个不容忽视的问题。例如,西门子和施耐德等品牌的多款PLC设备运行在VxWorks操作系统之上,而...
SECBIT郭宇:智能合约审计的趋势是自动化和复杂化
SECBIT区块链安全实验室
09-06 888
8月31日晚,SECBIT安比实验师创始人郭宇及其团队做客链得得《无眠吐槽大会》,与群友们探讨合约安全问题和“漏洞”中的机会,并就智能合约安全现状、应用、关键技术、解决方案、智能合约游戏漏洞以及区块链安全的商业模式等进行了全方位的分享。 郭宇精彩观点汇总: 1、 以太坊上大量的合约存在各种花样的整数溢出漏洞,有些可以直接导致 token 归零; 2、 目前智能合约中存在最普...
惨遭补刀!美链BEC合约漏洞后,美图公司宣布终止合作
链视界
04-26 952
今年2月,美链BEC)上线OKEX,发行70亿代币,市值一度突破280亿美金。该项目宣称打造“全球第一个基于区块链技术打造的美丽生态链平台”。4月22日,OKEx发布最新公告称,暂停BEC交易和提现,主要因为BEC美蜜币合约出现重大漏洞,攻击者可以通过代币合约的批量转账方法无限生成代币。其账户不会转出任何BEC,但接收方却可以收到大量的BEC。据分析BEC 智能合约中的batchTransfe...
误码率的matlab代码-PolarCodes:Matlab实现BEC的极地代码
05-27
误码率的matlab代码极地代码 Matlab实现二进制擦除通道的极码 目录 : 关于 用于二进制擦除通道的极性代码(编码和解码)的简单实现。 设置 该代码完全在Matlab中运行。 main.m文件运行整个模拟,即,它针对多个...
通俗易懂谈BEC智能合约致命漏洞
Fly_鹏程万里
06-19 1508
安全事件最近,智能合约漏洞很火。让我们再来看一下4月22日BeautyChain(BEC)的智能合约中一个毁灭性的漏洞。BeautyChain团队宣布,BEC代币在4月22日出现异常。攻击者通过智能合约漏洞成功转账了10^58 BEC到两个指定的地址。具体交易详情https://etherscan.io/tx/0xad89ff16fd1ebe3a0a7cf4ed282302c06626c1af33...
区块链】【智能合约美链攻击分析以及安全库的使用
little_stupid_child的专栏
08-31 5949
1.美链攻击过程 美链代币BEC为发行在以太坊上的ERC20代币,其具体合约的代码在该链接中合约代码。 向美链发起攻击的交易链接为攻击交易hash。 function batchTransfer(address[] _receivers, uint256 _value) public whenNotPaused returns (bool) { uint cnt = _receivers.length; uint256 amount = uint256(cnt) * _value;
区块链技术学习笔记(24) 美链
最新发布
qq_43820091的博客
03-04 256
就会导致amount是一个非常小的数值,扣除了很少的代币,这就相当于系统方凭空多发了很多的代币。美链中有一个叫batchTransfer的函数,它的功能是向多个接收者发送代币,然后把这些代币从调用者的帐户上扣除。ERC 20是以太坊上发行代币的一个标准,规范了所有发行代币的合约应该实现的功能和遵循的接口。没有自己的区块链,代币的发行、转账都是通过调用智能合约中的函数来完成的。美链(Beauty Chain)是一个部署在以太坊上的智能合约,有自己的代币BEC
区块链学习笔记06 - SafeMath库的使用
BRUCE的博客
02-01 5495
首先,为什么使用SafeMath? 为避免程序结果产生溢出,开发者应在运算中使用SafeMath。 何为溢出? 以太坊虚拟机(EVM)为整数指定固定大小的数据类型。这意味着一个整型变量只能有一定范围的数字表示。例如,一个 uint8 ,只能存储在范围 [0,255] 的数字。试图存储 256 到一个 uint8 将变成 0。不加注意的话,只要没有检查用户输入又执行计算,导致数字超出存储它们的...
【CryptoZombies - 2 Solidity 进阶】011 SafeMath合约安全增强解决上溢出与下溢出
水亦心的博客
05-03 2096
目录 一、前言 二、上溢出(overflow)与下溢出(underflow) 1、上溢出overflow 2、下溢出underflow 三、SafeMath 1、讲解 2、实战1 1.要求 2.代码 3、实战2 1.要求 2.代码 4、实战3 1.要求 2.代码 一、前言 看了一些区块链的教程,论文,在网上刚刚找到了一个项目实战,CryptoZombies。 今...
一行代码蒸发了¥6,447,277,680 人民币
dzqxwzoe的博客
02-18 685
就一个简单的溢出漏洞,导致BEC代币的市值接近归0那么,开发者有没有考虑到溢出问题呢?其实他考虑了,可以看如上截图除了amount的计算外, 其他的给用户转钱 都用了safeMath 的方法(sub,add)那么 为啥就偏偏这一句没有用safeMath的方法呢。。。这就要用写代码的人了。。。那么 我们如何避免这种问题呢?我个人看法是1.只要涉及到计算,一定要用safeMath 2.代码一定要测试!3.代码一定要review!4.必要时,要请专门做代码审计的公司来 测试代码。
solidity合约开发-SafeMath
q_776355102的博客
11-09 1184
SafeMath 的部分代码: library SafeMath { function mul(uint256 a, uint256 b) internal pure returns (uint256) { if (a == 0) { return 0; } uint256 c = a * b; assert(c / a == b); return c; } function div(uint256 a, uint256 b) inte
北京大学肖臻老师《区块链技术与应用》ETH笔记 - 13.0 ETH-美链 事件
区块链 web3.0
04-18 3470
13.0 ETH-美链 事件 2018年4月发生的事件,美链是发行在以太坊上的代币,这些代币没有自己的区块链,而是以智能合约的形式运行在以太坊的EVM平台上。发行这个代币的智能合约,对应的是以太坊状态树的一个节点,这个节点有它自己的账户余额,就相当于这个智能合约一共有多少个以太币,就是发行这个代币的智能合约它的资产有多少个以太币,然后在这个合约里每个账户上有多少个代币,这个是作为存储树中的变量,存储在智能合约的账户里。代币的发行、转账、销毁都是通过调用智能合约中的函数来实现的,这个也是跟以太坊上的以太..
Solidity基础教程2——Safemath
m0_50140502的博客
11-29 654
本教程使用的开发环境是一款在线编译器——ChainIDE,具体的使用方法在之前的文章当中已经有讲解过,有需要的同学可以自行查看。 网址:https://eth.chainide.com/ 序言 变量值是一个程序最基础的部分,不管是各类的运算符,还是逻辑,都是由一个个值支撑的。 Solidity是一种静态程序语言,也就是说它的每一个变量都需要对它指定类型(或者能推断出的类型)。在程序当中有可能会用到的是以下几种类型:布尔类型、整型、定长浮点型(不完全支持)、地址类型、常数类型。 作为一个经历过一些其他语言的编
区块链安全:ERC20智能合约整数溢出漏洞分析
自2016年The DAO遭受大规模攻击,损失6000万美元以来,区块链领域的智能合约漏洞事件频发,包括美链BEC的价值归零、BAI和EDU的任意账户转账,以及EOS的虚拟机漏洞,这些事件揭示了智能合约安全性上的脆弱性。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值