资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
ERC20代币创建者滥用漏洞引发广泛关注
智能合约漏洞导致代币总量异常膨胀
近期,一些ERC20代币创建者滥用的漏洞引发了广泛关注。由于这些代币在创建时使用的智能合约中存在一个名为“proxyOverflow”的漏洞,导致多种资产的总供应量被人为地膨胀。这一问题已经引发了一系列的麻烦,同时也凸显了这项技术总体上仍不够成熟。
漏洞的运作机制及其影响
PeckShield一直在追踪这一被多个ERC20代币创建者滥用的proxyOverflow漏洞。该漏洞允许用户转移大量代币,并附加巨额手续费。当这种情况发生时,proxyOverflow会增加可用代币的总供应量,尽管这并非设计初衷。这似乎是由于proxyTransfer()函数中存在一个经典的整数溢出问题,而该函数是所有受影响智能合约的重要组成部分。利用这一溢出漏洞将对相关代币造成灾难性后果。
此外,攻击者还可以利用这种方法将大量代币转移到一个零余额的地址。这些交易中附加的巨额手续费将会发送给msg.sender,从而引发各种麻烦。截至目前,至少有九种代币受到了这一问题的影响,而最终的数字可能会更高。这类漏洞可能会影响数十甚至数百种编码不当的ERC20代币。
以太坊生态系统的安全响应机制亟待完善
尽管这些发展令人担忧,但它们也凸显了以太坊生态系统需要一个安全响应机制的必要性。当这些问题被发现并报告时,除非合约创建者决定采取行动,否则无法对受影响的合约进行补救。缺乏适当的协调和沟通,这类问题将对以太坊生态系统产生连锁反应。
交易所的应对措施及其影响
目前,不少交易所已经暂停了这些代币的交易,直到智能合约问题得到解决。虽然这是正确的做法,但也对那些合法投资这些代币的用户产生了负面影响,他们现在无法对这些代币进行任何操作。同时,所有持有这些受影响代币的用户目前都处于风险之中,因此看起来没有其他选择。
教训与反思
从这一事件中可以吸取的一个宝贵教训是,在部署智能合约之前对其进行适当的审计需要成为一项强制性标准。如果在将智能合约部署到主链之前,由独立方对其进行审查,这类问题本可以轻松避免。这对ERC20行业来说是一个糟糕的发展,因为所有代币在未来的发展中都将会受到更严格的审查。
