SECBIT: 美链(BEC)合约安全事件分析全景

最新推荐文章于 2024-07-29 09:23:45 发布
原创 最新推荐文章于 2024-07-29 09:23:45 发布 · 4.2k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#智能合约 #区块链 #以太坊 #solidity #安全审计

本文分析了美链BEC智能合约出现的重大漏洞,该漏洞允许攻击者无限生成代币。问题出在批量转账函数的整数溢出,虽其他函数使用了防溢出库,但在关键位置遗漏了检查。建议采用数学计算库避免此类问题,并提醒区块链项目重视上线前的安全审计。

今天下午2点多,币圈链圈各个媒体突然爆料 美图科技发行的数字货币——美链(BEC) 的Token 智能合约出现重大漏洞,攻击者可无限生成代币。

【小葱独家:BEC合约出现重大漏洞,攻击者可无限生成代币】OKEx今日发布最新公告称,暂停BEC交易和提现。据小葱APP了解,这是因为BEC美蜜合约出现重大漏洞,攻击者可以通过代币合约的批量转账方法无限生成代币。 小葱注:美链今年2月在OKex上线BEC交易。美链和美图公司合作帮助美图旗下的BeautyPlus提升内容价值和市场占有率,同时Beautyplus作为美链的种子应用,协助美链的冷启动。美链发的Token叫做美蜜BEC。

美链官方声明
这里写图片描述美链官方声明

坊间传闻下午时候,美链团队发现异常交易,于是立刻通知各交易所,停止 BEC 的交易和提现功能。正好实验室的同事们忙里偷闲,一起分析了下这个出问题的合约代码。

这个漏洞比较明显,属于常见的 整数溢出(overflow)问题

下面我们来简单分析下这个出问题的合约函数:

function batchTransfer(address[] _receivers, uint256 _value)
最低0.47元/天 解锁文章
智能合约安全攻防演练:从理论到实战
qq_42568323的博客
07-30 1725
智能合约安全攻防演练摘要:本文系统介绍了智能合约安全攻防技术,涵盖重入攻击、整数溢出和权限控制三大核心漏洞类型。通过真实案例(如The DAO攻击损失6000万元)和代码演示,展示了攻击原理(如递归调用withdraw函数的重入攻击)及防御方案(采用检查-效果-交互模式或重入锁)。文中提供了完整的工具配置指南(Slither、Mythril等)、漏洞检测脚本和修复方案,并强调SafeMath库在预防算术溢出中的关键作用。实战部分包含攻击模拟脚本和权限控制缺陷修复方案,为开发者构建安全DApp提供全面指导
SECBIT郭宇:智能合约审计的趋势是自动化和复杂化
SECBIT区块链安全实验室
09-06 1084
8月31日晚,SECBIT安比实验师创始人郭宇及其团队做客得得《无眠吐槽大会》,与群友们探讨合约安全问题和“漏洞”中的机会,并就智能合约安全现状、应用、关键技术、解决方案、智能合约游戏漏洞以及区块链安全的商业模式等进行了全方位的分享。 郭宇精彩观点汇总: 1、 以太坊上大量的合约存在各种花样的整数溢出漏洞,有些可以直接导致 token 归零; 2、 目前智能合约中存在最普...
BEC合约漏洞技术分析
深入浅出区块链
04-26 1614
这两天币圈圈被BEC智能合约的漏洞导致代币价值几乎归零的事件刷遍朋友圈。这篇文章就来分析BEC智能合约的漏洞 漏洞攻击交易 我们先来还原下攻击交易,这个交易可以在这个接查询到。 我截图给大家看一下: 攻击者向两个账号转移57896044618…000.792003956564819968个BEC,相当于BEC凭空进行了一个巨大的增发,几乎导致BEC价格瞬间归零。 下面我们来...
从技术层面浅析BEC从诞生到覆灭
hejia729371286的博客
05-16 4628
4月22日下午13时左右,才发行两个月左右的BEC合约出现重大漏洞,黑客通过合约的批量转账方法无限生成代币。天量BEC从两个地址转出,引发抛售潮。当日,BEC的价值几乎归零。 蔡文胜与之间的公开秘密BEC)于2月23日下午16:00左右开盘,价格为0.09元,随后犹如火箭般扶摇直上,一度飙涨至80元,紧接着又下跌为4元,短短一天时间内,涨幅高达4000%。根据的白皮书介绍,...
以太坊开发】BeautyChain (BEC) 溢出漏洞分析
秋天的博客
07-20 1703
  前言 2018年4月23日中午11点30分左右,BEC代币被Hacker攻击。 Hacker利用数据溢出的漏洞攻击与图合作的公司 BEC智能合约,成功地向两个地址转出了天量级别的 BEC 代币,导致市场上海量 BEC 被抛售,该数字货币价值几近归零,给 BEC 市场交易带来了毁灭性打击。 下面我们来分析一下此次受攻击的漏洞,作为前车之鉴。 一、Token地址: https:...
大话 BEC 合约溢出漏洞
失心疯的博客
10-06 923
目录 技术分析 0x01 事件回顾 市值一度突破280亿金“全球第一个基于区块链技术打造的容生态平台”BEC(Beauty Chain)在2018年4月22日遭到攻击者0x09a34e***ed5fe93c利用溢出漏洞缺陷。 在开始详细的细节剖析之前,需要先了解一些技术背景作为铺垫。 0x02 技术背景 事件影响 BEC 合约漏洞技术分析 0x02 漏洞复现 Remix 在线部署...
区块链安全:ERC20智能合约整数溢出漏洞分析
自2016年The DAO遭受大规模攻击,损失6000万元以来,区块链领域的智能合约漏洞事件频发,包括BEC的价值归零、BAI和EDU的任意账户转账,以及EOS的虚拟机漏洞,这些事件揭示了智能合约在安全性上的脆弱性。...
工控安全职业证书技能实践:攻击事件攻击路径分析.pptx
07-13
本实践课程聚焦于工控安全职业证书的相关知识,特别是PLC的安全隐患与攻击路径分析。 首先,PLC的嵌入式系统漏洞是一个不容忽视的问题。例如,西门子和施耐德等品牌的多款PLC设备运行在VxWorks操作系统之上,而...
通俗易懂谈BEC智能合约致命漏洞
Fly_鹏程万里
06-19 1710
安全事件最近,智能合约漏洞很火。让我们再来看一下4月22日BeautyChain(BEC)的智能合约中一个毁灭性的漏洞。BeautyChain团队宣布,BEC代币在4月22日出现异常。攻击者通过智能合约漏洞成功转账了10^58 BEC到两个指定的地址。具体交易详情https://etherscan.io/tx/0xad89ff16fd1ebe3a0a7cf4ed282302c06626c1af33...
惨遭补刀!BEC合约漏洞后,图公司宣布终止合作
链视界
04-26 1102
今年2月,BEC)上线OKEX,发行70亿代币,市值一度突破280亿金。该项目宣称打造“全球第一个基于区块链技术打造的丽生态平台”。4月22日,OKEx发布最新公告称,暂停BEC交易和提现,主要因为BEC蜜币合约出现重大漏洞,攻击者可以通过代币合约的批量转账方法无限生成代币。其账户不会转出任何BEC,但接收方却可以收到大量的BEC。据分析BEC 智能合约中的batchTransfe...
区块链】【智能合约攻击分析以及安全库的使用
little_stupid_child的专栏
08-31 6049
1.攻击过程 代币BEC为发行在以太坊上的ERC20代币,其具体合约的代码在该接中合约代码。 向发起攻击的交易接为攻击交易hash。 function batchTransfer(address[] _receivers, uint256 _value) public whenNotPaused returns (bool) { uint cnt = _receivers.length; uint256 amount = uint256(cnt) * _value;
区块链技术学习笔记(24)
qq_43820091的博客
03-04 429
就会导致amount是一个非常小的数值,扣除了很少的代币,这就相当于系统方凭空多发了很多的代币。中有一个叫batchTransfer的函数,它的功能是向多个接收者发送代币,然后把这些代币从调用者的帐户上扣除。ERC 20是以太坊上发行代币的一个标准,规范了所有发行代币的合约应该实现的功能和遵循的接口。没有自己的区块链,代币的发行、转账都是通过调用智能合约中的函数来完成的。(Beauty Chain)是一个部署在以太坊上的智能合约,有自己的代币BEC
北京大学肖臻老师《区块链技术与应用》ETH笔记 - 13.0 ETH- 事件
区块链 web3.0
04-18 3611
13.0 ETH- 事件 2018年4月发生的事件是发行在以太坊上的代币,这些代币没有自己的区块链,而是以智能合约的形式运行在以太坊的EVM平台上。发行这个代币的智能合约,对应的是以太坊状态树的一个节点,这个节点有它自己的账户余额,就相当于这个智能合约一共有多少个以太币,就是发行这个代币的智能合约它的资产有多少个以太币,然后在这个合约里每个账户上有多少个代币,这个是作为存储树中的变量,存储在智能合约的账户里。代币的发行、转账、销毁都是通过调用智能合约中的函数来实现的,这个也是跟以太坊上的以太..
区块链学习笔记06 - SafeMath库的使用
BRUCE的博客
02-01 5836
首先,为什么使用SafeMath? 为避免程序结果产生溢出,开发者应在运算中使用SafeMath。 何为溢出? 以太坊虚拟机(EVM)为整数指定固定大小的数据类型。这意味着一个整型变量只能有一定范围的数字表示。例如,一个 uint8 ,只能存储在范围 [0,255] 的数字。试图存储 256 到一个 uint8 将变成 0。不加注意的话,只要没有检查用户输入又执行计算,导致数字超出存储它们的...
【CryptoZombies - 2 Solidity 进阶】011 SafeMath:合约安全增强解决上溢出与下溢出
水亦心的博客
05-03 2414
目录 一、前言 二、上溢出(overflow)与下溢出(underflow) 1、上溢出overflow 2、下溢出underflow 三、SafeMath 1、讲解 2、实战1 1.要求 2.代码 3、实战2 1.要求 2.代码 4、实战3 1.要求 2.代码 一、前言 看了一些区块链的教程,论文,在网上刚刚找到了一个项目实战,CryptoZombies。 今...
一行代码蒸发了¥6,447,277,680 人民币
dzqxwzoe的博客
02-18 885
就一个简单的溢出漏洞,导致BEC代币的市值接近归0那么,开发者有没有考虑到溢出问题呢?其实他考虑了,可以看如上截图除了amount的计算外, 其他的给用户转钱 都用了safeMath 的方法(sub,add)那么 为啥就偏偏这一句没有用safeMath的方法呢。。。这就要用写代码的人了。。。那么 我们如何避免这种问题呢?我个人看法是1.只要涉及到计算,一定要用safeMath 2.代码一定要测试!3.代码一定要review!4.必要时,要请专门做代码审计的公司来 测试代码。
solidity合约开发-SafeMath
q_776355102的博客
11-09 1397
SafeMath 的部分代码: library SafeMath { function mul(uint256 a, uint256 b) internal pure returns (uint256) { if (a == 0) { return 0; } uint256 c = a * b; assert(c / a == b); return c; } function div(uint256 a, uint256 b) inte
智能合约安全:为什么使用 SafeMath来防止整数溢出
最新发布
以择人之心择己,以恕己之心恕人。
07-29 3252
SafeMath是一个 Solidity 库,它提供了一组用于整数和固定点运算的安全函数。这些函数在执行加法、减法、乘法、除法等操作时会检查是否会发生溢出或下溢,并在发生这些情况时抛出异常,从而避免了错误结果的使用。使用SafeMath库可以帮助编写更加安全的智能合约,防止整数溢出和下溢问题导致的安全漏洞。虽然它可能稍微增加了一些额外的 gas 成本,但这通常是值得的,特别是在处理关键业务逻辑时。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值