【链安科技】getToken函数漏洞

在最近一次漏洞监控扫描中，有相关安全公司风险监控平台发出预警，AMORCOIN (AMR) Token 合约存在致命漏洞，任何人都可以随意增加其账户上的 Token 余额。

该相关安全公司小伙伴分析合约源码后发现，该合约中存在一个函数 getToken()，该函数的作用是给调用者的账户余额增加数量为 value 的 Token，value 值由调用者传入。通常合约中增发 Token 的函数仅 owner 可以调用，但是不幸的是，该合约中 getToken() 函数并未设置调用权限，并且该方法未标明可见性，默认为 public，也就是说，任何人都可以通过调用这个函数来任意增加自己账户上的 Token。 另外，通过这个函数增发 Token 后并没有修改 totalSupply 的值，间接导致了所有账户余额总和与合约标明的总量不一致，就是说 totalSupply 的值并非 Token 的真实总量。

目前该项目处于公募阶段。根据 etherscan 显示，AMORCOIN (AMR) Token 交易量总计 306 笔，其最近一次交易在不到一天前，为交易较为活跃的合约。

本文转载自《getToken函数漏洞》,版权归原作者，已获得原作者授权转载