Bianews报道,OKEx今日发布最新公告称,暂停BEC交易和提现。据了解,这是因为BEC美蜜合约出现重大漏洞,攻击者可以通过代币合约的批量转账方法无限生成代币。

美链今年2月在OKex上线BEC交易。美链和美图公司合作帮助美图旗下的BeautyPlus提升内容价值和市场占有率,同时Beautyplus作为美链的种子应用,协助美链的冷启动。美链发的Token叫做美蜜BEC。


漏洞分析

慢雾安全团队第一时间分析发现,BEC 智能合约(https://etherscan.io/address/0xc5d105e63711398af9bbff092d4b6769c82f793d)中的 batchTransfer 批量转账函数存在漏洞,攻击者可传入很大的 value 数值,使 cnt * value 后超过 unit256 的最大值使其溢出导致 amount 变为 0。

batchTransfer 函数

这样攻击者的账户不会转出任何 BEC,但是接收方却可以收到大量 BEC。

交易详情

接收方1

接收方2

通过此次漏洞分析,慢雾安全团队建议智能合约开发者在批量转账时严格校验转出总额 amount 是否大于 0,以及在 for 循环内执行 balances[msg.sender].sub(value) 操作。

这类漏洞属于不可逆的破坏型漏洞,建议其他智能合约发布方及时自查。

 

声明:本文来自慢雾区,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。