每日知识每日币：SMT所犯错误到底有多低级

突发：SMT智能合约曝溢出漏洞

1.SMT（某代币名称）被爆出存在与近日美图BEC代币类似的智能合约安全漏洞。这一漏洞意味着攻击者可以通过溢出攻击手段非法获取大量代币。

2.慢雾区传来消息，继BEC事件后，SMT也被发现其以太坊ERC-20智能合约中存在漏洞。黑客利用BatchOverFlow漏洞，通过数据溢出的方式对BEC进行了攻击，从而天量级的BEC代币流入了两个异常地址。这些伪造的Token在转入正常账户后，竟然能在交易所进行交易，如同真实Token一般无异。

交易所紧急响应，暂停相关业务

1.SMT项目方在凌晨发现交易异常，并初步确认其智能合约存在问题。火币Pro迅速发布公告，称已检测到SMT相关的异常交易TXID，并因此决定暂停所有币种的充提币服务。

2.okex交易所也闻讯而动，临时关闭了SMT与USDT、BTC、ETH的交易配对及SMT提现功能，恢复时间另行通知。

技术解析：问题根源与解决方案

1.YEE创始人张磊，这位前百度移动安全总经理透露，他们团队快速审查了BEC和SMT的代码，发现BEC的问题在于BatchTransfer中的数据溢出，而SMT则是代理转账逻辑未进行大数保护导致的大数溢出。二者共同的根本原因在于未采用安全库SafeMath，而是使用了普通的算术运算符。

2.BEC与SMT的智能合约分别在减法和加法上栽了跟头，正确的做法应当是运用library SafeMath函数确保智能合约的安全稳定。

3.YEE区块链团队强调，当前许多漏洞源于直接使用普通算术操作且缺乏溢出判断，这埋下了数据溢出的风险。而使用SafeMath库就能彻底解决这个问题，解决方案其实相当简单，只需全面检查智能合约代码，将基础的四则运算符替换为SafeMath库提供的函数即可。

4.腾讯区块链技术专家屠海涛独家对币世界表示，像BEC这类低级错误在传统金融机构会被严格审计避免，数字货币在合约安全审计方面的确还有待提高。他指出，安全漏洞分为系统级漏洞和个别代币漏洞，一旦漏洞被利用，影响可能波及其他数字货币市场，但只要交易所及时采取措施，危害便能有效控制。

5.张磊感慨道，此类漏洞对BEC和SMT而言无疑是致命打击，但对后续从业者来说，解决问题的方法并不复杂，只需要严谨对待、深入排查智能合约代码。尽管短期可能会引发虚拟货币市场的恐慌，但从长远看，投资者终究会回归价值投资的本质。

结尾感言：在这个区块链大行其道的时代，我们应心存敬畏，深知“差之毫厘，谬以千里”的道理，切勿以为代码相似就等同于安全无虞。4.衷心祝愿大家在这场区块链之旅中安好无忧！