BEC代币被黑，黑客输入一串数字就套利千万，说好的安全呢？

admin

昨日中午，黑客利用以太坊 ERC-20 智能合约中 BatchOverFlow 漏洞中数据溢出的漏洞攻击与美图合作的公司美链 BEC 的智能合约，成功地向两个地址转出了天量级别的 BEC 代币，导致市场上海量 BEC 被抛售，该数字货币价值几近归零，给 BEC 市场交易带来了毁灭性打击。

区块链安全公司 PeckShield 目前已经发现除了 BEC Token 之外，还有超过 12 多个项目 Token 的智能合约中存在 BatchOverFlow 整数溢出漏洞，黑客可以利用这一漏洞转账生成“不存在”的虚拟货币并进行交易获利。

被黑客攻击的 BEC 交易量数小时内形成价格“瀑布”，币值归零。目前 BEC 官方团队已经暂停一切交易和转账，将对 Okex 交易所的交易回滚到黑客充币之前。

黑客绕过验证后生成“李鬼”币

PeckShield 团队今日凌晨发布安全报告，提到黑客利用 in-the-wild 手段抓取以太坊 ERC-20 智能合约中的“BatchOverFlow”这个整数溢出漏洞来进行攻击。

利用这个漏洞，黑客可以通过转账的手段生成合约中不存在的、巨量的 Token 并将其转入正常账户，账户中收到的 Token 可以正常地转入交易所进行交易，与真的 Token 无差别。

PeckShield 的安全预警报告中提到了该漏洞的具体细节，这个漏洞出现在 BEC 智能合约的 batchTransfer 函数当中，代码如下图所示。