BEC瞬间归零:黑客转移海量币，黑产大军开始监控币漏洞

4月22日，OKEx公告称：暂停BEC的交易和提现，重新开放时间“另行通知”。

理由是，在当日13时左右，BEC出现异常交易。

所谓的异常，如果从k线图看，是BEC在短短半小时内，从0.32美元暴跌到0.024美元，跌落了92.5%。

此后，币直接被下架。

“这相当于，币直接归零了吗？”币圈一片哗然。

与此同时，BEC官网，也发布类似公告。

但两个公告均没有说明具体原因。

而这一次暴跌，是因为BEC存在一个极为简单、却重大的漏洞。

“BEC的错误太低级，简直是实习生水平的合约开发。”资深区块链技术专家沈园（化名）对一本区块链表示。

以太坊数据显示，有黑客利用这个漏洞，一夜之间转走了57,896,044,618,658,100,000,000,000,000,000,000,000,000,000,000,000,000,000,000.792003956564819968个BEC。

“这并不是一个成熟的盗币团队，毫无计划性。”圈内知名黑客小C称，因为这是一个小团队，甚至是一个小黑客，无意间发现的漏洞，并带着半玩耍心态的操作。

这是一个怎样的漏洞？

沈园在一张分析图上备注：BEC连基本的“数据溢出”检查都没有。

（沈园的分析图）

什么是溢出？

沈园举了一个最简单的例子：

比如，一个人小朋友，可以数着手指，计算10以内的加法。

你问小朋友，1+1等于几，他会扳手指算出来2；

如果你问他6+5，他扳完10个手指头后发现不够了，又扳回来说是1。

因为对小朋友来说，问题已经超纲“溢出”了。

放在币圈里，又如何理解？

比如，假设银行系统的转账，每次限制在1亿元内。

如果一个用户输入的数字，超过了1亿，系统要如何处理？

在技术层面，其实有很多方式来规避这个问题。

“但BEC的开发者，居然没有规避这个问题。”沈园称。

这件事情有意思的是，当用户输入转账数值，超过设定的最大值的时候，只要用户账户余额大于0，就可以直接将巨额的币“转走”。

BEC就是犯了这个问题。

“黑客输入了超过设定的数字，系统直接绕过了余额检查。”沈园称，攻击者可以利用该漏洞批量转账。

而币圈皆认为，这是一个极为低级的错误。

“真的是初学者才会犯的错误。”沈园认为，“这种发币的合约，直接和钱相关，不检查，是一种很不负责任的做法。”

错误很简单，后果很严重。

BEC白皮书显示，项目一共发行70亿代币，50%可流通。“余额都被提走了，有一半可能被盗。”沈园称。

“但黑客盗走的数额太大了，目标太大，且集中抛售币，导致币价大跌。”小C称，只要稍加计划，可能就能在毫不察觉之下，变现大量的币。

结果被交易所和美图币发现异常，导致了交易关停，切断了变现渠道。

“所以，黑客基本是竹篮打水一场空。”小C称，因此在黑产圈，大家都认为这是非专业盗币团队的操作。

但这一次并不完美的盗币大戏，再次将BEC推上了风口浪尖。

实际上，美蜜币BEC从诞生起，一路存在诸多诡谲与争议。

最让人复杂难辨的，是BEC和美图、蔡文胜之间千丝万缕的关系。

自今年2月起，网络上、QQ、微信群里，“美图公司代币BEC免费发放”的消息开始发酵，接受空投的用户，可以获得18个BEC。

这场空投行动在2月23日进入高潮。

当天，BEC上线OKEx。

美图、蔡文胜，OK系、徐明星，对于币圈玩家而言，这些金光闪闪的名人标签，就是“梭哈”的信号。

于是，BEC价格从开盘价0.0923美元，一度飙涨至5美元，涨幅5317%。

疯狂的时候，BEC市值达到350亿美元，甚至是美图公司市值的6倍。

24小时后，戏剧性的一幕诞生：蔡文胜否认和BEC有任何联系。

美图也几次声明称：BeautyChain（美链）是由第三方独立机构开发的区块链产品。“另外也发现一些微信群传播美图发代币，更加是不真实，美图没有发布任何代币或者token”。

BEC价格应声暴跌9成。

之后，BEC也再次确定了正式的中文名字，美链。

尽管美图极力撇清与BEC的关系，但一本区块链调查发现，二者之间关系隐秘而微妙。

（美图、蔡文胜、BEC之间的关系图）

首先让人怀疑的，是美图区块链与美链白皮书排版的“巧合”。

比如目录页，排版，字体，都莫名得相似。

（两份区块链白皮书的对比。左，美图；右，美链）

如果说白皮书排版风格相似只是一个巧合，那美链域名Beauty.io的注册信息，则是一个不折不扣的证据。

据Whois信息显示，美链项目域名Beauty.io注册于2014年3月，持有者名为「TSOI POCHUNG」。

（域名截图）

这位神秘的持有者是何许人也？

这个略显陌生的名字，是由港澳台通用的威妥玛拼音写成，转换成汉语拼音，就是“Cai Bao Zhong”。

如果熟悉蔡文胜的人，就会觉得这个姓名拼音并不陌生，他的身边，就有一个叫“蔡宝忠”的人。

2016年年末，美图赴港上市成功，答谢晚宴上大佬云集、觥筹交错。

蔡文胜公布了一封感谢信：美图八年磨砺，蔡文胜三十年创业，他最感谢的人，是结拜兄弟蔡宝忠。

1991年，蔡宝忠带了第一次去香港的蔡文胜吃麦当劳，教蔡文胜第一次用ATM，“我金钱概念的启蒙，就是来自宝忠。”蔡文胜层说。

可27年后，蔡文胜极力撇清的区块链项目，域名却属于蔡宝忠。

这还不是最玄妙的地方，BEC最早上线的交易所OKEx，和蔡文胜也有千丝万缕的关系。

在OKCoin的对外宣传文章中，蔡文胜和策源创投、曼图资本、创业工场、Tim Draper等，同为OKCoin的A轮投资方。

有意思的事，在近期OKEx合约风波中，OKCoin也在极力撇清与OKEx的关系，强调双方是“独立主体”，只有合作关系。

但实际上，他们也是“一个班子”。

还有一些细节，掀起了双方暧昧的裙角。

BEC空投页面中，推荐的专属钱包——BEC Wallet，开发者也是美图公司。

如果觉得英文公司名称还不能确定，点开其关联App，都是美图其他耳熟能详的产品。

（专属“钱包”）

实际上，在公告中，美图也承认与美链的关系：美图旗下海外应用产品BeautyPlus与美链在海外有推广合作。

但目前一本区块链抽丝剥茧发现，从白皮书、域名、交易所、钱包来看，美图和美链的关系，恐怕远不止于此。

而就是这样的BEC，犯了一个让业内认为“低级到难以想象的错误”。

不管美图、蔡文胜、BEC如何撇清关系，但币圈一个知名项目的低级错误，不得不让人审视更多的问题。

而业内人士称，很明显，BEC上线项目的时候，没有完整地进行测试。

“如果稍微测试，这种漏洞就会避免。”小C称。

头部玩家都会犯错，更何况币圈的小团队？

“这实在是因为，发币过程太简单了。”沈园称，基于以太坊ERC20，15分钟就能生成新的“代币”。

沈园对此颇为担忧：“一些公司对发币不够重视，用中心化的思维去做，一点敬畏感都没有。”

他预估，在此后，这样的安全事故，会批量爆发。

“这件事情，也确实提醒了黑客圈。”小C称，以前他们更多地去找交易所和钱包的漏洞，试图去“盗币”。

而这次的离奇事件，却给他们提出了一个另辟蹊径的思路。

“因此去看看发币公司的代码，这其中漏洞肯定很多。”小C已开始和一些专业的盗币团队策划，准备转移重心。

这种漏洞百出的“问题币”，绝不止BEC一种。

另一方面，这次事件，也给投资人一个警示。

知名公司发的“代币”之所以大受投资人欢迎，是因为大家都认为，有成熟公司做背书，无论是技术还是运维，都会更靠谱。

但实际上，BEC却被下架，瞬间归零。

“我们买的代币，到底是去中心化的信仰，还是变了形式的积分？说归零就归零了？”

真正有价值的币，到底是怎样的币？

一个真正好的项目，应该建立一个生态圈，而其中的代币，就是生态流动的润滑剂。

这个生态，也绝对不是一家公司就可以控制的，“说下线就下线”。

一夜归零的BEC，就如一出闹剧。

这其中折射太多的问题，对发币的疏忽和懈怠，黑产的强大和虎视眈眈。

“这种混乱的状态，对真正去中心化项目，又是一种伤害。”沈园认为。