翻译转载自CCN，原文链接：

https://www.ccn.com/eos-searches-for-solutions-as-ram-exploit-plagues-users/

近期，EOS 社区又一次开始寻找问题解决方案，起因是EOS开发者发现了一个智能合约漏洞，此漏洞允许恶意合约大量消耗用户的存储资源。

为了避免资源滥用， EOS要求用户购买一种稀缺的存储资源——RAM，来部署合约和运行DApp。

最近，开发者发现攻击者能制造利用require_recipient 事件通知函数的恶意合约。require_recipient 事件通知函数的作用是允许一个合约通知另一个合约相关的重要事项（例如，一次代币转入）。

恶意合约利用这个特性将垃圾数据填入用户的RAM中，来永久冻结RAM并且阻碍受害者正常使用或者对外售出RAM。

这种漏洞利用能同时影响普通用户和特定的智能合约，但是需要注意的是，只有在这些用户和合约向恶意合约转账后才会受到威胁。

尽管这个漏洞利用无法盗取用户资金，但是它能永久锁定RAM，而RAM是要用EOS代币购买的

EOS创造者Block.one的 CTO，以及 加密货币首席设计师 —— Dan Larimer在国外媒体Medium上谈到了这个问题，辩称这个问题应该被描述为“对于合理特性的滥用”，并将其称为“蓄意破坏”，而不是漏洞。

（原文章Medium链接：https://medium.com/eosio/preventing-unexpected-ram-consumption-8029a9342659）

他在文中提到，由于漏洞利用是利用“用户意图与真实代码效果之间的不对称”，而EOS网络中的区块制造者有权力根据EOS章程，在受影响用户与合约作者通过仲裁程序解决纠纷后，将这些恶意合约打入黑名单。正如他之前说过的：代码含义即法律。他还强调许多EOS钱包都会警告用户某一笔交易正在消耗RAM。

Larimer之后发起了一个专门为区块制造者制定的协议升级。如果这个升级被所有活跃的合约制造者采纳，它将防止require_recipient 事件通知函数意外消耗用户或者合约的RAM。

与此同时，一个EOSEssential的开发团队为担心丢失库存里RAM的用户创建了一种有效的迂回手段，尽管稍微有点复杂。

这个团队在GitHub上将解释了这个手段：EOS用户能通过一个没有RAM的代理账户发送代币，防止恶意合约消耗用户真实账户上的RAM。这种被称为“safetransfer”的代理合约会按照编写的代码，自动地向转账备忘录上第一个出现的词所代表的账户名称转入收到的代币。

比如说，如果我想向Block.one (他们手上只有100万EOS，可能还不大够)转账一些代币，我会将这些代币直接转入“safetransfer”，然后在转账备忘录上写上“b1”(他们公司的名字)作为备忘录上第一个词。

备忘录可能看起来会是这么个样子：

“b1 这里是一些代币，希望它们能解你燃眉之急”

虽然需要一些人为的操作，但是这个代理方式的优点是能兼容其他的代币类型。

另外，代理合约开发者建议用户在与DApp交互时不要尝试使用这个代理代币的方法，因为这会让应用以为它们在和代理合约，而不是真实的用户交互。但是由于目前几乎没有人在使用EOS的DApp，所以不大可能产生比较严重

本文章系成都链安科技翻译编辑转载，转载目的在于传递更多信息，并不代表本公司赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题，请在30日内与本网联系，我们将在第一时间删除内容！文章版权归原作者所有 内容为作者个人观点 本公司只提供参考并不构成任何投资及应用建议。本公司拥有对此声明的最终解释权

*文章为作者独立观点，不代表BSCEC立场

转载此文章须经作者同意，并请附上出处（成都链安科技）及本页链接。原文链接 https://mp.weixin.qq.com/s?__biz=MzU2NzUxMTM0Nw==