域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過

近日，壓抑了許久的數(shù)字貨幣終于走出寒冬，開始回暖，以EOS為首，帶動(dòng)比特幣、以太幣等大漲。

截至北京時(shí)間25日17：15，EOS近七日漲幅漲幅高達(dá)66.31%，BCH近七日上漲61.82%，ETH、XRP漲幅均超過26%，BTC漲16.37%至9327.2美元。行情圖上一片春意盎然，萬里江山一片紅。

但幣友們還未來得及彈冠相慶，一則噩耗為剛剛回暖的幣市蒙上一層陰影：因SMT也被曝出現(xiàn)與BEC類似的漏洞，火幣、OKEx雙雙暫停了SMT交易。

BEC、STM接連曝光安全漏洞，一時(shí)間，ERC-20漏洞問題引發(fā)業(yè)內(nèi)廣泛討論。如果沒法從根本上解決漏洞，那么受害的不僅僅是投資者，虛擬貨幣生態(tài)中的所有參與者都將終日提心吊膽。

十幾款ERC-20智能合約存在整數(shù)溢出漏洞

22日，黑客利用以太坊ERC-20智能合約中BatchOverFlow漏洞中的數(shù)據(jù)溢出的漏洞，攻擊了BEC智能合約，通過合約的批量轉(zhuǎn)賬方式無限生成代幣，成功向兩個(gè)地址轉(zhuǎn)出了天量級(jí)別的BEC代幣，瞬間引發(fā)BEC拋售潮，BEC 64億價(jià)值幾乎歸零。

黑客先是試探性地往OKEx中轉(zhuǎn)入100萬的BEC Token，成功轉(zhuǎn)入賣出后，又分2次轉(zhuǎn)入了1000萬的BEC Token，發(fā)現(xiàn)兩次都成功，便轉(zhuǎn)入了1億枚BEC Token。

發(fā)現(xiàn)問題后，OKEx當(dāng)即停止了BEC的交易。BEC團(tuán)隊(duì)也公告表示將與OKEx交易所合作回滾到黑客轉(zhuǎn)入Token之前的數(shù)據(jù)以保護(hù)投資者的權(quán)益。

BEC風(fēng)波未平，另一款加密數(shù)字貨幣SMT也被爆出現(xiàn)類似漏洞。

4月25日上午，火幣Pro發(fā)布公告，虛擬幣SMT項(xiàng)目方反饋當(dāng)日凌晨發(fā)現(xiàn)其交易存在異常問題，經(jīng)初步排查，SMT的以太坊智能合約存在漏洞?；饚臥ro也同期檢測(cè)到TXID為0x0775e55c402281e8ff24cf37d6f2079bf2a768cf7254593287b5f8a0f621fb83的異常。受此影響，火幣Pro暫停所有幣種的充提幣業(yè)務(wù)。

與此同時(shí)，OKEx也已暫停了SMT交易。

早在BEC事件之后，區(qū)塊鏈安全公司Peck Shield的團(tuán)隊(duì)利用自動(dòng)化系統(tǒng)掃遍了以太坊智能合約并對(duì)它們進(jìn)行分析。結(jié)果發(fā)現(xiàn)，除BEC Token之外，有超過12個(gè)ERC-20智能合約都存在BatchOverFlow整數(shù)溢出漏洞，其中也包括已經(jīng)在交易所上進(jìn)行交易的幣種。黑客可以利用這一漏洞轉(zhuǎn)賬生成不存在的Token，并轉(zhuǎn)入交易所正常交易獲利，與真的Token無異。

Peck Shield團(tuán)隊(duì)23日凌晨發(fā)布安全報(bào)告，提到黑客利用in-the-wild手段抓取以太坊ERC-20智能合約中的BatchOverFlow這個(gè)整數(shù)溢出漏洞來進(jìn)行攻擊。    

而這一切都源于一個(gè)簡(jiǎn)單至極的程序Bug。Peck Shield的安全預(yù)警報(bào)告中提到了該漏洞的具體細(xì)節(jié)，這個(gè)漏洞出現(xiàn)在ERC20智能合約的batch Transfer函數(shù)當(dāng)中，代碼如下圖所示：

為了驗(yàn)證該漏洞存在的真實(shí)性，Peck Shield團(tuán)隊(duì)對(duì)一個(gè)未在交易所上線的以太坊寵物游戲CryptoBots進(jìn)行了BatchOverFlow安全性攻擊，最終成功地在該協(xié)議上生成了CBTB代幣。

Peck Shield認(rèn)為，因?yàn)橐蕴粎^(qū)塊鏈上所謂“代碼即一切”的原則精神的存在，導(dǎo)致目前沒有有效的安全防護(hù)手段來修復(fù)這些問題，而且因?yàn)門oken交易背后牽扯著巨大的利益，是無法在多個(gè)交易所進(jìn)行同步防護(hù)的。因?yàn)橹行幕灰姿皇菍?duì)Token進(jìn)行記賬式的交易，項(xiàng)目團(tuán)隊(duì)與交易所配合之后回滾是可以一定程度上保護(hù)投資者利益的，但是如果在去中心化交易所進(jìn)行交易那么投資者的損失將無法挽回，同時(shí)，利用交易所反應(yīng)的時(shí)間差，黑客也可以實(shí)現(xiàn)在多個(gè)交易所套利。

在BEC事件中，在OKEx發(fā)現(xiàn)異常并停止OKEx交易前，按照轉(zhuǎn)入記錄，預(yù)計(jì)黑客已經(jīng)賣出了最少1100萬枚BEC，折合當(dāng)時(shí)的價(jià)格約1887萬人民幣。 

前有BEC被攻擊，后有STM出現(xiàn)類似漏洞，ERC-20整數(shù)溢出漏洞猶如一枚定時(shí)炸彈，我們的數(shù)字資產(chǎn)將如何安放？

Variant-LWE加密方案可抵御量?計(jì)算機(jī)攻擊

與EOS主網(wǎng)上線差不多同期，另一個(gè)公有鏈項(xiàng)目Variant也將實(shí)現(xiàn)智能合約、POS、和AI挖礦算法的主網(wǎng)上線。

Variant全稱為Variant Network，是全球首個(gè)基于UTXO模型的分片（sharding）算法的公有鏈項(xiàng)目，是融合IPFS和AI的新一代智能合約區(qū)塊鏈3.0平臺(tái)。

Variant主攻方向?yàn)镮PFS、AI、原子跨鏈，側(cè)鏈、閃電網(wǎng)絡(luò)、DAG、分片、Variant-LWE（Learning With Errors）加密算法等，以提高平臺(tái)的TPS速度和處理能力，以及可擴(kuò)展性，實(shí)現(xiàn)鏈上鏈下的數(shù)據(jù)交互，團(tuán)隊(duì)也研發(fā)如何較好地隱私保護(hù)機(jī)制和更符合現(xiàn)實(shí)的通證經(jīng)濟(jì)模型。

針對(duì)安全問題，Variant聯(lián)合創(chuàng)始人ARRONWANG博士此前在接受媒體采訪時(shí)指出，Variant擁有密碼學(xué)方面的人才，也會(huì)研究新的密碼學(xué)，推出新的密碼算法。

據(jù)悉，Variant的研究?員提出?種名為Variant-LWE的加密方案，來研究抵抗量?計(jì)算機(jī)的攻擊。Variant-LWE參考了后量?密碼（post-quantum cryptography）的協(xié)議基礎(chǔ)，它被認(rèn)為是能夠抵抗量?計(jì)算機(jī)攻擊的密碼體制，其計(jì)算安全性據(jù)信可以抵御當(dāng)前已知任何形式的量?攻擊。

Variant擁有一支國(guó)際頂尖團(tuán)隊(duì)，聯(lián)合創(chuàng)始人ARRONWANG是清華大學(xué)經(jīng)濟(jì)學(xué)博士、德國(guó)慕尼黑工業(yè)大學(xué)博士；聯(lián)合創(chuàng)始人ANDREWEARLS畢業(yè)于德國(guó)慕尼黑工業(yè)大學(xué)，精通C++，GO語言，主攻計(jì)算機(jī)科學(xué)，具有十幾種數(shù)字貨幣設(shè)計(jì)經(jīng)驗(yàn)和互聯(lián)網(wǎng)金融開發(fā)經(jīng)驗(yàn)。Variant核心成員還包括原量子的核心開發(fā)工程師，以太坊社區(qū)智能合約深度開發(fā)者，原lisk核心開發(fā)工程師，原惠普GO語言研究員，早期操作系統(tǒng)核心開發(fā)者，Azure早期設(shè)計(jì)者，原百度CMD，原MOI Global商務(wù)總監(jiān)；顧問包括斯坦福大學(xué)和上海交通大學(xué)的教授等。

除了在安全漏洞方面的優(yōu)勢(shì)，Variant的算法顯著提高了交易吞吐量，Proof of AI共識(shí)算法賦予了區(qū)塊鏈機(jī)器學(xué)習(xí)的能力，智能合約虛擬機(jī)融合IPFS解決了大數(shù)據(jù)存儲(chǔ)的痛點(diǎn)。Variant致力于讓算力為社會(huì)產(chǎn)生真正的價(jià)值，不斷突破區(qū)塊鏈的能力邊界讓去中心化應(yīng)用的落地成為可能。

據(jù)了解，Variant目前已對(duì)接多家交易所，即將實(shí)現(xiàn)智能合約、POS、和AI挖礦算法的主網(wǎng)上線，將在5月對(duì)全球用戶進(jìn)行糖果空投。

Variant平臺(tái)在發(fā)行前將經(jīng)過一系列嚴(yán)格測(cè)試，其中包括軟件功能性測(cè)試、P2P網(wǎng)絡(luò)性能測(cè)試、潛在攻擊向量測(cè)試、可靠性測(cè)試，安全審計(jì)和代碼審核，Alpha版本測(cè)試，Bata版本測(cè)試，通過完善的軟件測(cè)試流程，來控制軟件質(zhì)量。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！