BEC瞬间归零:黑客转移海量币,黑产大军开始监控币漏洞
编者按:本文来自一本区块链(ID:yibenqkl),作者:棘轮 墨菲,36氪经授权发布。
昨日,BEC(美蜜币)遭遇黑客攻击。
因为一个简单到“实习生都不会犯的漏洞”,导致57,896,044,618,658,100,000,000,000,000,000,000,000,000,000,000,000,000,000,000.792003956564819968个BEC被转移。
瞬间,BEC的神话破灭。
这个和美图、蔡文胜有千丝万缕关系、曾经暴涨53倍的代币,却在瞬间归零。
这个可笑而荒诞的一幕,在疯狂的ICO时代,恐怕绝非个例……
01 下架
4月22日,OKEx公告称:暂停BEC的交易和提现,重新开放时间“另行通知”。
理由是,在当日13时左右,BEC出现异常交易。
所谓的异常,如果从k线图看,是BEC在短短半小时内,从0.32美元暴跌到0.024美元,跌落了92.5%。
此后,币直接被下架。
“这相当于,币直接归零了吗?”币圈一片哗然。
与此同时,BEC官网,也发布类似公告。
但两个公告均没有说明具体原因。
而这一次暴跌,是因为BEC存在一个极为简单、却重大的漏洞。
“BEC的错误太低级,简直是实习生水平的合约开发。”资深区块链技术专家沈园(化名)对一本区块链表示。
以太坊数据显示,有黑客利用这个漏洞,一夜之间转走了57,896,044,618,658,100,000,000,000,000,000,000,000,000,000,000,000,000,000,000.792003956564819968个BEC。
“这并不是一个成熟的盗币团队,毫无计划性。”圈内知名黑客小C称,因为这是一个小团队,甚至是一个小黑客,无意间发现的漏洞,并带着半玩耍心态的操作。
这是一个怎样的漏洞?
沈园在一张分析图上备注:BEC连基本的“数据溢出”检查都没有。
(沈园的分析图)
什么是溢出?
沈园举了一个最简单的例子:
比如,一个人小朋友,可以数着手指,计算10以内的加法。
你问小朋友,1+1等于几,他会扳手指算出来2;
如果你问他6+5,他扳完10个手指头后发现不够了,又扳回来说是1。
因为对小朋友来说,问题已经超纲“溢出”了。
放在币圈里,又如何理解?
比如,假设银行系统的转账,每次限制在1亿元内。
如果一个用户输入的数字,超过了1亿,系统要如何处理?
在技术层面,其实有很多方式来规避这个问题。
“但BEC的开发者,居然没有规避这个问题。”沈园称。
这件事情有意思的是,当用户输入转账数值,超过设定的最大值的时候,只要用户账户余额大于0,就可以直接将巨额的币“转走”。
BEC就是犯了这个问题。
“黑客输入了超过设定的数字,系统直接绕过了余额检查。”沈园称,攻击者可以利用该漏洞批量转账。
而币圈皆认为,这是一个极为低级的错误。
“真的是初学者才会犯的错误。”沈园认为,“这种发币的合约,直接和钱相关,不检查,是一种很不负责任的做法。”
错误很简单,后果很严重。
BEC白皮书显示,项目一共发行70亿代币,50%可流通。“余额都被提走了,有一半可能被盗。”沈园称。
“但黑客盗走的数额太大了,目标太大,且集中抛售币,导致币价大跌。”小C称,只要稍加计划,可能就能在毫不察觉之下,变现大量的币。
结果被交易所和美图币发现异常,导致了交易关停,切断了变现渠道。
“所以,黑客基本是竹篮打水一场空。”小C称,因此在黑产圈,大家都认为这是非专业盗币团队的操作。
但这一次并不完美的盗币大戏,再次将BEC推上了风口浪尖。
02 起底
实际上,美蜜币BEC从诞生起,一路存在诸多诡谲与争议。
最让人复杂难辨的,是BEC和美图、蔡文胜之间千丝万缕的关系。
自今年2月起,网络上、QQ、微信群里,“美图公司代币BEC免费发放”的消息开始发酵,接受空投的用户,可以获得18个BEC。
这场空投行动在2月23日进入高潮。
当天,BEC上线OKEx。
美图、蔡文胜,OK系、徐明星,对于币圈玩家而言,这些金光闪闪的名人标签,就是“梭哈”的信号。
于是,BEC价格从开盘价0.0923美元,一度飙涨至5美元,涨幅5317%。
疯狂的时候,BEC市值达到350亿美元,甚至是美图公司市值的6倍。
24小时后,戏剧性的一幕诞生:蔡文胜否认和BEC有任何联系。
美图也几次声明称:BeautyChain(美链)是由第三方独立机构开发的区块链产品。“另外也发现一些微信群传播美图发代币,更加是不真实,美图没有发布任何代币或者token”。
BEC价格应声暴跌9成。
之后,BEC也再次确定了正式的中文名字,美链。
尽管美图极力撇清与BEC的关系,但一本区块链调查发现,二者之间关系隐秘而微妙。
(美图、蔡文胜、BEC之间的关系图)
首先让人怀疑的,是美图区块链与美链白皮书排版的“巧合”。
比如目录页,排版,字体,都莫名得相似。
(两份区块链白皮书的对比。左,美图;右,美链)
如果说白皮书排版风格相似只是一个巧合,那美链域名Beauty.io的注册信息,则是一个不折不扣的证据。
据Whois信息显示,美链项目域名Beauty.io注册于2014年3月,持有者名为「TSOI POCHUNG」。
(域名截图)
这位神秘的持有者是何许人也?
这个略显陌生的名字,是由港澳台通用的威妥玛拼音写成,转换成汉语拼音,就是“Cai Bao Zhong”。
如果熟悉蔡文胜的人,就会觉得这个姓名拼音并不陌生,他的身边,就有一个叫“蔡宝忠”的人。
2016年年末,美图赴港上市成功,答谢晚宴上大佬云集、觥筹交错。
蔡文胜公布了一封感谢信:美图八年磨砺,蔡文胜三十年创业,他最感谢的人,是结拜兄弟蔡宝忠。
1991年,蔡宝忠带了第一次去香港的蔡文胜吃麦当劳,教蔡文胜第一次用ATM,“我金钱概念的启蒙,就是来自宝忠。”蔡文胜层说。
可27年后,蔡文胜极力撇清的区块链项目,域名却属于蔡宝忠。
这还不是最玄妙的地方,BEC最早上线的交易所OKEx,和蔡文胜也有千丝万缕的关系。
在OKCoin的对外宣传文章中,蔡文胜和策源创投、曼图资本、创业工场、Tim Draper等,同为OKCoin的A轮投资方。
有意思的事,在近期OKEx合约风波中,OKCoin也在极力撇清与OKEx的关系,强调双方是“独立主体”,只有合作关系。
但实际上,他们也是“一个班子”。
还有一些细节,掀起了双方暧昧的裙角。
BEC空投页面中,推荐的专属钱包——BEC Wallet,开发者也是美图公司。
如果觉得英文公司名称还不能确定,点开其关联App,都是美图其他耳熟能详的产品。
(专属“钱包”)
实际上,在公告中,美图也承认与美链的关系:美图旗下海外应用产品BeautyPlus与美链在海外有推广合作。
但目前一本区块链抽丝剥茧发现,从白皮书、域名、交易所、钱包来看,美图和美链的关系,恐怕远不止于此。
而就是这样的BEC,犯了一个让业内认为“低级到难以想象的错误”。
03 隐患
不管美图、蔡文胜、BEC如何撇清关系,但币圈一个知名项目的低级错误,不得不让人审视更多的问题。
而业内人士称,很明显,BEC上线项目的时候,没有完整地进行测试。
“如果稍微测试,这种漏洞就会避免。”小C称。
头部玩家都会犯错,更何况币圈的小团队?
“这实在是因为,发币过程太简单了。”沈园称,基于以太坊ERC20,15分钟就能生成新的“代币”。
沈园对此颇为担忧:“一些公司对发币不够重视,用中心化的思维去做,一点敬畏感都没有。”
他预估,在此后,这样的安全事故,会批量爆发。
“这件事情,也确实提醒了黑客圈。”小C称,以前他们更多地去找交易所和钱包的漏洞,试图去“盗币”。
而这次的离奇事件,却给他们提出了一个另辟蹊径的思路。
“因此去看看发币公司的代码,这其中漏洞肯定很多。”小C已开始和一些专业的盗币团队策划,准备转移重心。
这种漏洞百出的“问题币”,绝不止BEC一种。
另一方面,这次事件,也给投资人一个警示。
知名公司发的“代币”之所以大受投资人欢迎,是因为大家都认为,有成熟公司做背书,无论是技术还是运维,都会更靠谱。
但实际上,BEC却被下架,瞬间归零。
“我们买的代币,到底是去中心化的信仰,还是变了形式的积分?说归零就归零了?”
真正有价值的币,到底是怎样的币?
一个真正好的项目,应该建立一个生态圈,而其中的代币,就是生态流动的润滑剂。
这个生态,也绝对不是一家公司就可以控制的,“说下线就下线”。
一夜归零的BEC,就如一出闹剧。
这其中折射太多的问题,对发币的疏忽和懈怠,黑产的强大和虎视眈眈。
“这种混乱的状态,对真正去中心化项目,又是一种伤害。”沈园认为。