美图终止与BEC合作，SMT再现安全漏洞

三日前，美链因存在安全漏洞被交易所停止交易。（详情可查看《美蜜币BEC遭攻击被OKEx下架， 美图区块链之梦或遇第一次打击》）

今日，美图公司声明，即日起公司旗下海外产品BeautyPlus终止与Beauty Chain（BEC美链）的海外推广合作。

合作终止后，美图与Beauty Chain（BEC美链）将无任何合作。同时，美图重申没有、也不会发行任何数字货币。

声明

即日起，美图公司旗下海外产品BeautyPlus终止与Beauty Chain（BEC美链）的海外推广合作。合作终止后，美图与Beauty Chain（BEC美链）将无任何合作。

美图重申，公司对区块链技术的关注在于探索前沿技术本身，目前仍处于早期的研究阶段。美图公司没有、也不会发行任何数字货币。

美图公司

2018年4月25日

不管美图是否能成功甩包，现在，这已经不仅仅是美图的问题了。就在今天，另一支币也掉进了同一个坑。

今日早间，火币Pro公告，SMT项目方反馈今日凌晨发现其交易存在异常问题，经初步排查，SMT的以太坊智能合约存在漏洞。火币Pro也同期检测到TXID为0x0775e55c402281e8ff24cf37d6f2079bf2a768cf7254593287b5f8a0f621fb83的异常。受此影响，火币Pro现决定暂停所有币种的充提币业务。

随后，火币Pro又发布公告称暂停SMT/USDT、SMT/BTC和SMT/ETH的交易。

尊敬的用户：

应SmartMesh (SMT)项目方的要求，火币Pro暂停SMT/USDT、SMT/BTC和SMT/ETH的交易，具体开放时间另行通知。火币Pro会随时与项目方保持联络，待项目方有最新进展我们会第一时间公布，给您带来的不便深表歉意，感谢您的理解与支持！

火币全球专业站2018年4月25日

截止暂停交易，SMT在火币Pro的价格下跌近20% 。

回顾下之前美图BEC遭遇的问题，也是智能合约存在漏洞，可通过溢出攻击可收到大量的代币。黑客利用以太坊ERC-20智能合约中BatchOverFlow漏洞中的数据溢出的漏洞，攻击了美链BEC的智能合约，成功地向两个地址转出了天量级别的BEC代币，引发抛售潮。据了解，黑客可以通过转账的手段生成合约中不存在的、巨量的Token并将其转入正常账户，并且账户中收到的Token可以正常地转入交易所进行交易，与真的Token无差别。

根据OKEx的数据显示，事件发生后BEC出现大瀑布，数据停止在2018年4月22日8点，价格为0.02USDT。而非小号数据显示已归零。

SMT出事后，OKEx也紧接着暂停了ERC20币种充值。

据PeckShield 团队发布的安全报告，黑客利用 in-the-wild 手段抓取以太坊 ERC-20 智能合约中的「BatchOverFlow」这个整数溢出漏洞来进行攻击。利用这个漏洞，黑客可以通过转账的手段生成合约中不存在的、巨量的 Token 并将其转入正常账户，账户中收到的 Token 可以正常地转入交易所进行交易，与真的 Token 无差别。

PeckShield 的安全预警报告中提到了该漏洞的具体细节，这个漏洞出现在ERC20智能合约的batchTransfer 函数当中，代码如下图所示。

随后 PeckShield 团队利用自动化系统扫遍了以太坊智能合约并对它们进行分析。结果发现，有超过 12 个 ERC-20智能合约都存在BatchOverFlow安全隐患。其中包括已经在交易所上进行交易币种。

PeckShield团队表示，出于安全考虑，暂时不能曝光这批项目的名称，但已与相关项目团队进行了联系。这里面可能就包括今天爆出的SMT项目。

Smartmesh项目是一个基于区块链的物联网底层协议，能让智能手机、智能设备等不通过互联网就可以相互连接的软件，smartmesh内置区块链轻节点，扩展闪电与雷电等区块链二级架构网络协议实现代币的无网微支付。

据其官网介绍，基于区块链代币的激励，smartmesh可以自组织形成一个具有弹性、去中心化、能够自我修复的mesh network，提供比互联网更高的近场速度和带宽，并且它通常是免费的。

目前已上线了4家交易所，分别是OKEX、CEX.COM、火币Pro、比特儿海外版。

就在刚刚，SMT官方微博发布公告，公布最新进展：

1、本次漏洞产生的Token增减、交易数据如下。

.由ETH智能合约漏洞生成的“假币”总数：65,133,050,195,990,400,000,000,000,000,000,000,000,000,000,000,000,000,000,000.891004451135422463

.由黑客地址转至交易所的“假币”总数：65,300,289

.在交易所交易的“假币”总数：16,638,887（待最终确认）

黑客地址转入交易所的假币中，未被交易的假币已全被交易所冻结。

2、生成并已经流通于交易所的“假币”,SmartMesh基金会称将拿出对等的SMT数量冻结及销毁，以弥补所造成的损失，保持SMT的总数在

3,141,592,653。

3、SmartMesh团队已与Huobi、Gate、OKEx、CEX等多家交易所沟通、协调重新开通SMT交易对交易的具体时间以及其他相关措施，并在努力确认相关事项处理完毕后重启SMT在各交易所充提币。