bitstamp

全文： 尼布寺（SECBIT）生物医学联手路印（Loopring）协力正式发布智能化合同信用风险列表，该条目内容主要包括详尽的难题合同基本信息和全面的信用风险难题汇整。希望该条目可以协助 ERC20 Token 合同合作开发人员提高合作开发质量，协助DAPP工程项目方降低合作投资成本。

镜像坊 ERC20 Token 标准自 2015 年 11 月 19 日问世年来 [1]，为智能化合同、镜像坊自然生态以及区块链应用的产业发展作出了巨大的重大贡献。据 Etherscan 中文网站数据显示，止 2018 年 6 月 26 日，镜像坊主网路上 ERC20 Token 数目已少于 90000。右图是统计的 ERC20 每星期建立数目趋势图。

这些 Token 合同所贯穿的价值莫大[1]。然而近一年来年来，以BEC该事件[2]为转捩点，引起的一系列的核裂变，越来越多的合同安全可靠漏洞与不兼容性难题陆续被曝出。目前智能化合同安全可靠难题的预测披露还较为杂乱，对智能化合同的合作开发和先期的使用所起著的作用非常非常有限，街道社区缺少两套完整的合同难题汇整监督机制。因而尼布寺（SECBIT）生物医学在预测了近期曝出的合同信用风险难题和大量的智能化合同源代码后，联手路印（Loopring）正式发布智能化合同信用风险条目，联合去虚拟化证券交易所 DEx.top、听信信息技术、Consensys 中国、悠悠信息技术等技术工程项目组，协力对该信用风险条目进行保护。

由于镜像坊上布署的合同数目规模还在不断减小，未来还会有更多更复杂的难题曝露出来。因而，我们提倡发动 Token 合同信用风险条目资源共享计划，敦促更多重视区块链自然生态的工程项目组或技工参与进来，协力保护这本合同信用风险条目。

ERC20 Token的安全可靠难题归纳

ERC20 Token 安全可靠漏洞该事件简述

在 ERC20 Token 逐渐成形和健全的产业发展过程中，不少 ERC20 智能化合同曾出现过重大安全可靠漏洞，对工程项目方、创业者、证券交易所甚至整个镜像坊街道社区造成了较为大的经济损失。例如：

• 2016 年 6 月 18 日，DAO 合同遭反击，导致少于 3,600,000 个镜像币 (ETH) 失窃，逼使镜像坊街道社区不得已采取硬锯齿的手段来减少经济损失，而这更是直接引起了镜像坊街道社区的瓦解[3]
• 2018 年 4 月 22 日，网络反击了美链 (BEC) 的 Token 合同，通过一个整数溢出安全可靠漏洞，一时间 BEC 的价格几乎归零。我们发现至少有10份合同存在该类难题。
• 2018 年 4 月 25 日，SMT 曝出类似整数溢出安全可靠漏洞，黑客制造和抛售了天文数字规模的 Token，导致 SMT 价格崩盘[4]。
• 2018 年 5 月 20 日，严重的逻辑安全可靠漏洞导致 EDU 用户的 Token 可被任意转出，同时还有其它 3 个 Token 存在相同难题[5]。
• 2018 年 6 月 12 日，一系列 ERC20 智能化合同整数溢出安全可靠漏洞 (CVE-2018-11687, CVE-2018-11809, CVE-2018-11810, CVE-2018-11811, CVE-2018-11812) 又被曝出，据不完全统计有 800 多个合同受到影响[6]。

大量 ERC20 Token 实现未严格遵守规范

未参照 ERC20 标准实现 Token 合同会给 DApp 合作开发带来较大的困扰。某知名 DApp 工程项目组在深入预测了排名前20的合同之后，提示街道社区需要对 Token 合同的诸多实现难题和不规范行为重视起来[9]，尤其是对于新的 DApp 合作开发人员，提早避免一些难题。

Nearly a third of the time developing Bskt was spent auditing external dependencies. We highly encourage other Ethereum dev teams to be aware of the dangers in external dependencies. Unlike software development in most systems, it’s critical to read the implementation of deployed contracts you depend on — not just the interface.万向集团区块链 https://www.110btc.com/qukuai

我们还注意到，大量已布署 Token 合同曾经参考了镜像坊官网（现已修复）以及 OpenZeppelin （52120a8c42 [2017年3月21日] ~ 6331dd125d[2017年7月13日]) 给出的不规范代码模板，在 Solidity 编译器升级至 0.4.22 后出现严重的兼容性难题，难以对接去虚拟化证券交易所（如DEX）等其它 DApp [7]。据不完全统计，存在该类难题的合同少于2000份。

若干 Token 合同在标准 approve 函数中添加了对当前账户余额校验逻辑。导致采用类似 0x 协议的诸多DApp（如DEX）有可能无法正常完成 approve，必须由 Token 工程项目方提前转入一笔数额巨大的 Token 至中间账户，这给DApp和证券交易所带来了诸多不便[8]。少于17份合同存在该难题。

ERC20 规范中规定了几个可选的通用查询接口如 name、symbol、decimals ，因而大量 Token 合同未提供这些接口，甚至不少采用 NAME、SYMBOL、DECIMALS 等不一致的写法，也给合同的外部调用带来了极大的麻烦。存在该类难题的合同少于3000份。

ERC20 标准中还规定了 Transfer 和 Approval 该事件必须在特定场景下触发。很多 Token 的实现参考了镜像坊官网的不标准代码（现已修复），漏掉触发 Approval 该事件的操作。存在该类难题的合同少于1800份。

ERC20 安全可靠难题汇整与分类

我们对数万份 ERC20 Token 合同存在的难题进行预测统计，已将所有统计数据上传至 Github 仓库（awesome-buggy-erc20-tokens）。

公信宝

Github 仓库地址：https://github.com/sec-bit/awesome-buggy-erc20-tokens万向集团区块链 https://www.110btc.com/qukuai

已发现的所有 ERC20 Token 合同安全可靠信用风险难题（共28项）被归纳为三大类：代码实现安全可靠漏洞（A），不规范难题（B），权限管理难题（C）。

• 代码实现安全可靠漏洞涵盖了合同代码功能实现和逻辑实现上的安全可靠漏洞，如整数溢出
• 不规范难题涵盖了因代码实现不规范导致版本不兼容或者外部合同调用时的无法不兼容难题，如 ERC20 接口无返回值
• 权限管理难题涵盖了所有因管理权限设置不当而引起的难题，如owner可以操作任何人账户上的余额

难题条目如下：

在awesome-buggy-erc20-tokens 仓库的文章（ERC20_token_issue_list_CN.md）中对每个难题给出了详尽描述信息。

如何使用 Token 合同信用风险条目

• Token 合同合作开发人员：本条目提供了详尽的难题描述和相关合同条目，希望能够借此提⾼ ERC20 Token 合同合作开发人员的安全可靠意识，避免在先期的合同合作开发中重复踩坑。
• DApp 工程项目方：镜像坊平台的 DApp 可能会与多个 ERC20 Token 合同对接。DApp 项⽬⽅可以通过本仓库查阅已布署的难题合同的详尽信息，获知 Token 合同存在的难题，避免因 Token 合同的安全可靠漏洞或者合同的不兼容难题，给 DApp 带来不必要的麻烦。
• 其他自然生态参与者：本条目收录了大量 ERC20 Token 合同存在的信用风险难题，并记录了市值排名较⾼的672份已布署的 Token 合同的基本信息和难题详情，大家可以通过查阅本仓库来找到难题合同，了解已布署 Token 合同存在的信用风险。

Token 条目包含哪些内容

awesome-buggy-erc20-tokens 仓库共收录了镜像坊上数万份 ERC20 Token 合同中存在的难题。主要包含三部分内容：Token 合同的基本信息，难题 Token 条目，信用风险难题汇整。

1. 合同的基本信息仓库中目前已收录的合同，所有难题合同均来源于此。

（合同信息条目：https://github.com/sec-bit/awesome-buggy-erc20-tokens/blob/master/token_dict.json ）

另外，仓库中还统计coinmarket中文网站收录的Token合同的详尽信息（共672份），包括token的排名，token名称，token缩写符号，总量，小数位数和上线证券交易所的信息。

（合同详尽信息条目：https://github.com/sec-bit/awesome-buggy-erc20-tokens/blob/master/token_detail_dict.json ）

2. 所有的难题合同条目，条目分别以 json 和 CSV 的形式展示，也便于导入表格软件或者编写脚本进行预测。

ncp是什么

（所有的难题合同条目：https://github.com/sec-bit/awesome-buggy-erc20-tokens/blob/master/bad_tokens.all.csv ）

（按难题类型分类的难题合同条目：https://github.com/sec-bit/awesome-buggy-erc20-tokens/tree/master/csv ）

3. 信用风险难题汇整文件

spx