由于潜在的 BatchOverFlow 漏洞，多家交易所暂停 ERC20 代币交易

暴走解说

: 以太坊智能合约中存在一个新漏洞BatchOverFlow，让黑客有机会占用大量代币，从而操纵市场。 并且由于以太坊的“代码即法律”原则，现有的传统安全响应机制无法应对此类漏洞。 因此，多家交易所已暂停该类代币的交易服务，但由于与该漏洞相关的BatchTransfer并非标准的ERC20功能，可能只有选择部署的合约所有者受到影响。

译者：Annie_Xu

OKEX 在发现新的智能合约漏洞 BatchOverFlow 后暂停了 ERC20 代币充值。 随后加密货币交易所Poloniex已暂停所有ERC-20代币充提，HitBTC已启动内部自查，离线处理充提。

2018 年 4 月 25 日，Poloniex 交易所公告：

“我们已暂停 ERC-20 代币存款和取款hitbtc交易平台短线宝，同时检查所有智能合约是否存在报告的 BatchOverflow 漏洞。我们会认真对待任何漏洞报告，并确保客户资金安全。感谢您的耐心等待！”

2018年4月25日，HitBTC发布消息：

“由于发现ERC20智能合约存在潜在问题，我们已启动内部自检。所有ERC20代币的充值和转账将根据检查结果恢复上线。请参阅系统

在“健康”页面查看在线状态”。

由于新发现的漏洞而选择暂停 ERC-20 代币交易的其他交易所包括 Changelly、QUOINE 等。

4 月 23 日，Medium 用户 ranimes 发布了一篇名为《在多个 ERC20 智能合约中发现新的 BatchOverFlow 漏洞》（New BatchOverFlow

多个 ERC20 Smart 中的错误

合同），详细说明了“原始合同中的未知漏洞”如何“允许攻击者利用这些易受攻击的合同并占有大量代币”，从而使他们能够操纵价格。

该博客提到，由于以太坊区块链采用的“代码即法律”原则，“没有流行的传统安全响应机制来修复这些易受攻击的合约”。

该博主写道hitbtc交易平台短线宝，已经联系了处理漏洞的团队，但“其他交易所还需要协调，还会有其他可交易代币存在batchOverflow漏洞”。

博客提到，另一个问题可能出现在使用离线交易服务的非去中心化交易所，“因为它们甚至无法阻止攻击者洗钱。”

中等用户约翰

Huxtable 在博客中评论说，“值得一提的是，BatchTransfer 不是标准的 ERC20 功能，因此只有选择部署它的合约所有者可能会受到影响”。

一些 ERC20 代币的当前问题是在有报道称由于不相关的 DNS 攻击而从 MyEtherWallet 中盗取大约 1.5 亿美元的以太币后不久发生的。