雖然美圖董事長蔡文勝一再撇清美圖與美鏈（Beauty Chain）的關(guān)系，但這并未阻止資本對 BEC （所發(fā)行代幣）的青睞。

因?yàn)椴涛膭偈?OKEx 的早期投資人，而美蜜幣目前又僅上線了OKEx一個(gè)交易平臺，所以業(yè)內(nèi)人大都認(rèn)為蔡和美蜜有著千絲萬縷的關(guān)系。就在大家都在爭論美鏈?zhǔn)欠駷榍f家坐莊操控幣價(jià)時(shí)，一場韭菜們意想不到的災(zāi)難突然降臨。

4月22日13時(shí)左右，OKEx發(fā)布公告，暫停BEC交易和提現(xiàn)。

據(jù)雷鋒網(wǎng)了解，這是因?yàn)?strong>BEC智能合約出現(xiàn)重大漏洞，攻擊者可以通過代幣合約的批量轉(zhuǎn)賬方法無限生成代幣。也就是說，攻擊者的賬戶不會轉(zhuǎn)出任何BEC，但接收方卻可以收到大量的BEC。

而在此公告之前的一個(gè)多小時(shí)，一篇名為“一行代碼蒸發(fā)了￥6,447,277,680 人民幣！”的文章已經(jīng)在幣圈和鏈圈流傳，文中分析了漏洞產(chǎn)生的原因。

據(jù)分析，BEC 智能合約(https://etherscan.io/address/0xc5d105e63711398af9bbff092d4b6769c82f793d)中的 batchTransfer 批量轉(zhuǎn)賬函數(shù)存在漏洞，攻擊者可傳入很大的 value 數(shù)值，使 cnt * value 后超過 unit256 的最大值使其溢出導(dǎo)致 amount 變?yōu)?0。

你傳幾個(gè)地址給我(receivers)，然后再傳給我你要給每個(gè)人多少代幣（value)，發(fā)送的總金額 = 發(fā)送的人數(shù)*發(fā)送的金額，所以這會要求你當(dāng)前的余額大于發(fā)送的總金額。

從邏輯上看，你想給別人發(fā)送代幣，那么你本身的余額一定要大于發(fā)送的總金額，這是合理的。但是，這段代碼卻犯了“整數(shù)溢出”的低級錯(cuò)誤！

當(dāng)其設(shè)置的值超過了取值范圍時(shí)，就會出現(xiàn)“溢出”漏洞，黑客利用這個(gè)漏洞就可無限生成新的代幣。

想象一下，如果人民幣可以不限量的發(fā)行時(shí)，你手中的錢還值錢嗎？

還好，目前BEC已暫停交易，但究竟生成了多少代幣，還未公布。不過，韭菜們手中的 BEC 貶值是肯定的了。文中建議，應(yīng)該根據(jù)在漏洞之前的快照，查詢所有用戶的余額情況，發(fā)行新的token，給之前的用戶發(fā)送等額的代幣，補(bǔ)償損失。

消息來源：知乎

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。