【链安科技】getToken函数漏洞

在最近一次漏洞监控扫描中,有相关安全公司风险监控平台发出预警,AMORCOIN (AMR) Token 合约存在致命漏洞,任何人都可以随意增加其账户上的 Token 余额。

该相关安全公司小伙伴分析合约源码后发现,该合约中存在一个函数 getToken(),该函数的作用是给调用者的账户余额增加数量为 value 的 Token,value 值由调用者传入。通常合约中增发 Token 的函数仅 owner 可以调用,但是不幸的是,该合约中 getToken() 函数并未设置调用权限,并且该方法未标明可见性,默认为 public,也就是说,任何人都可以通过调用这个函数来任意增加自己账户上的 Token。 另外,通过这个函数增发 Token 后并没有修改 totalSupply 的值,间接导致了所有账户余额总和与合约标明的总量不一致,就是说 totalSupply 的值并非 Token 的真实总量。

目前该项目处于公募阶段。根据 etherscan 显示,AMORCOIN (AMR) Token 交易量总计 306 笔,其最近一次交易在不到一天前,为交易较为活跃的合约。

本文转载自《getToken函数漏洞》,版权归原作者,已获得原作者授权转载

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏企鹅号快讯

用不到 50 行的 Python 代码构建最小的区块链

译文:CSDN - 黑色巧克力 geek.csdn.net/news/detail/228355 ? 尽管一些人认为区块链是一个等待问题的解决方案,但毫无疑...

1960
来自专栏Seebug漏洞平台

以太坊合约审计 CheckList 之“以太坊智能合约编码隐患”影响分析报告

在知道创宇404区块链安全研究团队整理输出的《知道创宇以太坊合约审计CheckList》中,我们把超过10个问题点归结为开发者容易忽略的问题隐患,其中包括“语法...

1142
来自专栏区块链大本营

年薪百万的技术面试都问啥?来收下这份必考题葵花宝典吧|套路

话说,区块链行业对人才的缺口越来越大,但由于区块链涉及的知识领域较为广泛,能找到真正有用的人才对每个企业来说都非常不易。

1821
来自专栏区块链入门

深度解析Solidity的17个坑及超详细避坑指南

以太坊智能合约的一个特点是能够调用和使用其他外部合约的代码。合约也通常可以处理以太币,因此往往会将以太币传送到各种外部用户的地址。调用外部合约或将以太币发送到一...

6092
来自专栏liuchengxu

50 行 Python 代码构建一个区块链

尽管有人认为区块链 (blockchain) 是一个答案先于问题的技术,但毫无疑问, 这项新的技术已然是一个计算的奇迹。不过,到底区块链是什么呢

882
来自专栏liuchengxu

用 Go 构建一个区块链 -- Part 4: 交易(1)

翻译的系列文章我已经放到了 GitHub 上:blockchain-tutorial,后续如有更新都会在 GitHub 上,可能就不在这里同步了。如果想直接运行...

1072
来自专栏Seebug漏洞平台

从以太坊;MorphToken事件;看智能合约构造函数大小写编码错误漏洞

以太坊智能合约的含义就是一组代码(函数)和数据(合约的状态),它们位于以太坊区块链的一个特定地址上。智能合约一般使用solidity语言编写。

1163
来自专栏liuchengxu

用 Go 构建一个区块链 -- Part 6: 交易(2)

翻译的系列文章我已经放到了 GitHub 上:blockchain-tutorial,后续如有更新都会在 GitHub 上,可能就不在这里同步了。如果想直接运行...

1141
来自专栏汇智网教程

原 区块链是什么?彻底理解只要50行rub

区块链是什么?作为一个Ruby开发者,理解区块链的最好办法,就是 亲自动手实现一个。只需要50行Ruby代码你就能彻底理解区块链技术的核心原理! 如果你希望马...

2868
来自专栏区块链入门

【深度知识】10分钟教会你深挖以太坊数据层

在当下数据爆炸的信息时代,凭借区块链去中心化、点对点和防篡改的特性,“区块链+大数据”已成为研究的热门,可以说,区块链与大数据的结合为今后区块链应用的大规模落地...

1502

扫码关注云+社区

领取腾讯云代金券