（BMB小姐姐在用美圖手機(jī)自拍中）

“?

BEC纳令、SMT等Token被盜事件喚醒了人們對資產(chǎn)安全的擔(dān)憂。目前市場上的項目種類繁多，質(zhì)量參差不齊平绩，投資者難以判斷項目可靠程度圈匆。BugX眾包模式的智能合約審計可以幫助投資者從代碼層面判斷項目的風(fēng)險，為投資提供有價值的參考捏雌。

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ”

1?

BEC被盜復(fù)盤

美鏈 BEC跃赚，這個曾經(jīng)暴漲53倍，高出美圖5倍市值的傳奇幣種腹忽，在一場“實習(xí)生都不該犯”的合約bug中被轉(zhuǎn)走價值60億元的代幣来累。消息同時引發(fā)了價格閃崩，按照交易中的閃跌最低價0.137元計算窘奏，大跌近94%嘹锁，市值蒸發(fā)120億元，幾近歸零着裹。之后领猾，OKEx直接下架了BEC，幾乎相當(dāng)于把BEC直接歸零骇扇。幕后老板蔡文勝終于遭到了報應(yīng)——“割人者摔竿，人恒割之"。

故事的起因少孝，是有人利用美鏈代碼中的bug轉(zhuǎn)移了57,896,044,618,658,100,000,000,000,000,000,000,000,000,000,000,000,000,000,000.792003956564819968個BEC继低，這筆大額交易和消息面的震動引起了BEC價格暴跌。美鏈隨后發(fā)布公告稍走，將盡快發(fā)布新的智能合約袁翁，并與OKEx交易所達(dá)成一致，回滾交易至4月22日13:18時刻婿脸，新的智能合約會與BEC進(jìn)行1:1映射粱胜，意味著將有一個新的(jiu)幣(cai)種(bi)替代BEC，總量也為70億個狐树。

我們再來看下這個簡單的程序Bug焙压。轉(zhuǎn)賬記錄顯示，價值60億元的BEC被轉(zhuǎn)至兩個賬戶抑钟。該操作利用了BEC智能合約的漏洞涯曲，轉(zhuǎn)出token總量大于token實際設(shè)定的數(shù)量發(fā)生，又被稱為“溢出”在塔。“這就相當(dāng)于兩個人之間的轉(zhuǎn)賬幻件。如果你給我轉(zhuǎn)100塊錢，首先你得有100塊錢心俗。”業(yè)內(nèi)人士稱，一般跟金錢掛鉤的代碼城榛，是重中之重的揪利，要多次檢測的。這次智能合約漏洞程序代碼的每一個數(shù)據(jù)類型都是有范圍的狠持，若范圍是1-100疟位，那么101就和1是一樣的。如果在轉(zhuǎn)賬的時候喘垂，沒有進(jìn)行safeMath判斷甜刻，情況就是 101和1是相等的。如果加了判斷正勒，101就是報錯得院。而程序員沒用到safeMath這段代碼，所以出了這個漏洞章贞。“實際上就是你沒有100塊錢祥绞，給我轉(zhuǎn)賬的時候，我卻真的有了100塊錢鸭限⊥删叮”?

僅過了兩天時間，SMT智能合約也被爆出相同的漏洞败京，而網(wǎng)友發(fā)現(xiàn)兜喻，有相同漏洞的數(shù)字貨幣還有許多。

盡管蔡文勝此前多次撇清與美鏈的關(guān)系赡麦，“BeautyChain是獨立第三方機(jī)構(gòu)開發(fā)的產(chǎn)品朴皆，只是跟美圖海外版應(yīng)用BeautyPlus有推廣合作，美圖沒有發(fā)行代幣”隧甚。然而業(yè)內(nèi)人士透露车荔，蔡文勝與BEC存在千絲萬縷的聯(lián)系，而BEC團(tuán)隊目前實際只有三人戚扳。根據(jù)官方資料忧便，BEC美鏈的官網(wǎng)域名beauty.io代理注冊人疑似為蔡文勝好友蔡寶忠。另據(jù)公開資料帽借，蔡文勝參與了虛擬貨幣交易所OKEx的1000萬美金A輪投資珠增。因此，BEC也得以順利在OKEx上掛牌交易砍艾。雖然美圖發(fā)布緊急聲明蒂教，終止與美鏈的合作，但不知這次大失血后脆荷，蔡文勝的區(qū)塊鏈夢凝垛、或者說是韭菜夢懊悯，是不是要涼了。

2?

層出不窮的數(shù)字貨幣黑客事件

據(jù)統(tǒng)計梦皮，2017年下半年期間炭分，智能合約的數(shù)量從50萬增長到300萬，2018年預(yù)計會突破1000萬剑肯。隨著數(shù)字貨幣的持續(xù)火爆和總市值的不斷增長捧毛，黑客事件不斷頻發(fā)，數(shù)量與失竊金額整體呈快速上升趨勢让网。有黑產(chǎn)人士透露呀忧，隨著交易所和數(shù)字貨幣數(shù)量的井噴，虛擬貨幣黑產(chǎn)將最晚在2018年下半年形成大規(guī)模的穩(wěn)定作業(yè)流程溃睹。

在古典互聯(lián)網(wǎng)世界里的而账，大多數(shù)非專業(yè)人士對安全的認(rèn)知僅僅停留在“404”和殺毒軟件。對古典互聯(lián)網(wǎng)用戶來說丸凭，安全并非極迫切問題福扬，影響范圍有限。但是在區(qū)塊鏈?zhǔn)澜缋锵瑹o論是數(shù)字貨幣交易所铛碑、智能合約還是錢包，Code is law虽界，Crypto is money汽烦，數(shù)字貨幣的“真金白銀”化讓安全問題被提升到一個前所未有的高度。

2016年6月莉御，一位惡意攻擊者盜竊了價值5500萬美元的以太幣撇吞，這個被盜的本質(zhì)原因是DAO的智能合約存在一個安全漏洞，被攻擊者惡意利用礁叔。

2017年4月牍颈，韓國加密貨幣交易所Youbit首次遭到疑似朝鮮黑客入侵，丟失了4000個比特幣琅关，12月份煮岁，Youbit再次遭黑客入侵，損失了17%的總資產(chǎn)涣易，公司申請破產(chǎn)画机。

2017年7月，另一位黑客通過利用以太坊錢包客戶端 Parity 漏洞盜取了價值超過3000萬美元的ETH新症，問題的本質(zhì)也是由智能合約自身錢包應(yīng)用的一個奇偶校驗漏洞所導(dǎo)致的被盜事件步氏。

2018年1月，日本加密貨幣交易所Coincheck被黑客盜走總額約580億日元的NEM幣徒爹，Coincheck因此向投資者返還約463億日元（約合4.25億美元）荚醒。這也成為有史以來規(guī)模最大的數(shù)字貨幣盜竊案之一芋类。

2018年4月，BEC美蜜合約出現(xiàn)重大漏洞界阁，黑客通過合約的批量轉(zhuǎn)賬方法無限生成代幣梗肝。天量BEC從兩個地址轉(zhuǎn)出，引發(fā)拋售潮铺董。當(dāng)日，BEC的價值幾乎歸零禀晓【“一行代碼蒸發(fā)了6,447,277,680 人民幣！”

2018年4月粹懒，目前最受歡迎的以太坊錢包Myetherwallet發(fā)生的一連串事故重付，兩個小時里很多用戶的錢包被清空，黑客卷走至少13000美元凫乖。

安全問題嚴(yán)重困擾著以太坊上智能合約的應(yīng)用發(fā)展确垫，包括金融，保險帽芽，社交删掀，游戲，運(yùn)算和存儲分配导街，賭博等幾乎所有應(yīng)用披泪。倫敦大學(xué)學(xué)院(University College London,UCL)計算機(jī)科學(xué)系伊利亞·謝爾蓋副教授的研究論文《Finding The Greedy , Prodigal , and Suicidal Contractsat Scale》中，通過對將近 100 萬份智能合約進(jìn)行每份合約 10 秒分析時間的分析后發(fā)現(xiàn),這其中有 34200 份智能合約很容易受到黑客攻擊搬瑰。同時他們又對 3759 份智能合約抽樣調(diào)查款票，在這之中，3686 份智能合約有 89% 的概率含有漏洞泽论。以下列舉六個以太坊重大漏洞：

序號漏洞名稱漏洞描述

1日食攻擊（eclipse attack）日食攻擊是其他節(jié)點實施的網(wǎng)絡(luò)層面攻擊艾少，其攻擊手段是囤積和霸占受害者的點對點連接時隙（slot），將該節(jié)點保留在一個隔離的網(wǎng)絡(luò)中翼悴。這種類型的攻擊旨在阻止最新的區(qū)塊鏈信息進(jìn)入到日食節(jié)點缚够，從而隔離節(jié)點。

2以太坊短地址漏洞由于EVM并沒有嚴(yán)格校驗地址的位數(shù)抄瓦，并且還擅自自動補(bǔ)充消失的位數(shù)潮瓶，使得合約多發(fā)送很多代幣出來。

3Geth客戶端DoS攻擊漏洞?大約75%的以太坊節(jié)點都在運(yùn)行Geth钙姊，這個漏洞可能會使那些運(yùn)行兼容拜占庭的版本的節(jié)點在硬分叉之后更加容易遭受DoS攻擊毯辅。

4浪子合約漏洞?交易資金因為漏洞返還給所有者、交易者過去發(fā)送給以太網(wǎng)的地址煞额，以及特定地址思恐。這種漏洞就像是空手套白狼沾谜，買家得到商品，而賣家無法得到加密貨幣胀莹。?

5自殺合約漏洞?智能合約的擁有者可以在以太坊發(fā)生故障時選擇退回基跑，類似于微信中的撤回選項。但是這個指令也可以被其他人執(zhí)行描焰，使得交易失敗媳否。

6貪婪合約漏洞?這是指那些永遠(yuǎn)停留在以太坊的智能合約，上述的 Parity 漏洞正是一種貪婪合約荆秦，它會把智能合約所涉及的商品以及加密貨幣鎖定在以太坊中篱竭，交易雙方均無法得到，也不能取消步绸。

3

BugX拔劍出征

頻發(fā)的黑客事件和觸目驚心的被盜金額掺逼，喚起了人們對資產(chǎn)安全的擔(dān)憂，甚至有專家認(rèn)為瓤介，以太坊不適合作為智能合約的底層吕喘。智能合約審計開始受到重視。由于智能合約天然的去中心化屬性和迅猛的迭代速度刑桑，市面上傳統(tǒng)的網(wǎng)絡(luò)安全服務(wù)商難以滿足數(shù)字貨幣審計的需求氯质，一種去中心化眾包形式的智能合約安全眾測模式開始迅速興起。

BMB Group輔導(dǎo)的BugX平臺祠斧，正通過構(gòu)建一個支持?jǐn)?shù)字貨幣交易的可擴(kuò)展安全審計系統(tǒng)病梢，來解決智能合約的安全問題。

BugX依賴于參與者的分布式網(wǎng)絡(luò)來減輕不良審計行為的信任問題梁肿，完成審計工作蜓陌。每個參與者使用BugX Token令牌用來支付，收取或改進(jìn)驗證服務(wù)吩蔑。在BugX生態(tài)中钮热，包括貢獻(xiàn)者（提供檢測規(guī)則）、漏洞賞金獵人（檢測漏洞獲取BugX Token獎勵）烛芬、智能合約提供者（被測試方）隧期、智能合約用戶和表決治理系統(tǒng)。

智能合約安全審計流程說明

假設(shè)一位開發(fā)者希望降低自己編寫的貨幣系統(tǒng)代碼的風(fēng)險赘娄，開發(fā)者可以在BugX智能合約錢包中直接提交他們的代碼進(jìn)行安全審計仆潮，并提供相應(yīng)的BugX Token(懸賞賞金)。BugX智能合約收到審計請求后遣臼，在下一個以太坊驗證節(jié)點上執(zhí)行一組安全檢查程序來驗證智能合約的安全性性置。在達(dá)成共識后，審計證明和報告數(shù)據(jù)將被添加到下一個以太坊區(qū)塊中揍堰。開發(fā)者獲取審計報告的同時鹏浅，BugX Token也支付給了貢獻(xiàn)者(漏洞賞金獵人)嗅义。審計報告會對漏洞的嚴(yán)重性進(jìn)行分類。如果一個漏洞沒有被立即發(fā)現(xiàn)隐砸，賞金會預(yù)留到截止時間之碗。

BugX通過自動化和眾包的方法，降低實際風(fēng)險季希，提升人們對智能合約的信心褪那。去中心化的眾包模式也很好適應(yīng)了智能合約本身去中心化和快速迭代的特性，每當(dāng)有版本更新式塌，開發(fā)人員便會在激勵下重新審計他們的智能合約武通，證明他們致力于確保代碼安全并不斷提高公眾信心。

盡管幣圈黑天鵝事件接連發(fā)生珊搀，智能合約審計服務(wù)正幫助人們逐步建立對行業(yè)的信心。作為普通的投資者尾菇，在投資數(shù)字貨幣時保持一份對技術(shù)的敬畏境析，關(guān)注審計報告指出的問題，秉持價值投資的理念派诬，才能真正做到行穩(wěn)致遠(yuǎn)劳淆。