ERC-20 怎么了？

昨天多个交易所暂停ERC20令牌交易。

Poloniex交易所已经暂停了所有ERC-20(基于以太坊的)代币充提。原因是ERC20 中的一个程序缺陷名为“BatchOverflow"。交易所HitBTC也已经启动了一项内部检查，该检查将存款和交易到离线状态。此前OKEX在发现了一种名为batchOverFlow的新智能合同漏洞后，于今天早些时候决定停止ERC20的存款。

• Poloniex交易所(@Poloniex)， 2018年4月25日。
  由于ERC20智能合同中检测到的潜在问题，我们进行了内部检查。所有在ERC20代币上的存款和转账都将按照检查结果上网。请参阅系统健康网页的在线状态。

• HitBTC (@hitbtc) 2018年4月25日。
  其他选择停止ERC-20令牌交易的交易所，因为新发现的漏洞包括:Changelly、QUOINE和其他一些。

在4月23日，媒体用户ranimes发布了一个名为“在多个ERC20智能合同中新的batchOverflow Bug”的博客，详细描述了一个“以前未知的合同漏洞”，可以允许“攻击者通过利用这些脆弱的合同来拥有大量的筹码”，从而允许价格操纵。

博客文章指出，由于以太坊采用“代码既是法律”原则“没有传统的知名安全响应机制来修复这些脆弱的合同。”

该博客的作者写道，与这个漏洞打交道的团队已经联系过了，但“其他交易所也需要协调，还有一些易受batchOverflow影响的可交易令牌。”

该博客提到，另一个问题可能出现在使用线下交易服务的非集中交易所，“因为他们甚至不能阻止攻击者清洗他们的代币。”

媒体用户John Huxtable在博客上评论道:“值得注意的是，batchTransfer并不是一个标准的ERC20功能，所以只有那些选择使用它的合约所有者才会受影响。”

新闻链接：https://cointelegraph.com/news/multiple-exchanges-suspend-erc20-token-trading-due-to-potential-batchoverflow-bug

尾巴说：

    刚一看这个新闻以为以太坊怎么这么不堪一击，赶紧把手里的ETH卖了吧。 仔细看了一下真不是什么事儿都需要让以太坊背锅的。本身就是这些代币在上面建立智能合约没有考虑周全，不够防攻击。才能导致让发现漏洞的人自己交易几笔就能“无中生有”很多代币。通过以太坊智能合约“发币”容易，若不做好严格的代码检查和安全防护，亿级资金的损失只在一瞬间。所以我每次看白皮书，都看看程序员长的什么样，哈哈，看看是不是一个有代码洁癖的人。但是值得深思的是这些代币真的有货币级别的安全性嘛？还是只是游戏币，显示个余额而已？ 以后交易所上币也要找个懂代码的审一下，不然到时候自己也得赔投资者。这种事儿可不是回滚交易能够解决的。细思及恐，会不会交易所发现了也不销毁，留着这个窟窿慢慢填呢？近期我会关注交易所ERC-20哪个已经暂停充币，也许就意味着混入了假筹码。