【链安科技】Token合约F_E漏洞

有相关安全公司风险监控平台于今日发现,ERC20代币合约F_E由于业务逻辑实现漏洞,任何人都可以随意转出他人账户中的Token。并且该Token已经上线交易所,至今仍有活跃交易,Token随时面临彻底归零风险。

合约地址sha3哈希值: 62c2235a3744a1d15cc15bb7f778e3228e07a9fd73cc8aae727a079dd21f0642

在合约的 transferFrom 函数中,transfer 之前对 allowed[from][msg.sender] 进行校验,转账金额 value 不能超过 allowed[from][msg.sender] 中授权的金额。但是由于判断条件中将 < 误写成了>=,导致授权账户能够并且只能转出超过授权额度的金额才能转账。同时由于 value 大于 allowed[from][msg.sender],allowed[from][msg.sender] -= value 操作使得 allowed[from][msg.sender] 溢出。

这个由于代码中判断条件错误引发的漏洞,与之前已经爆出的诸多ERC20 合约漏洞如出一辙。任何人都可以在未授权的情况下转出其他人账户中的所有或部分Token;已授权用户可以转出超过授权额度的Token。

根据etherscan显示,该合约最近一次交易在4天前,也就是说该Token最近还在活跃交易中。

同时,SECBIT实验室监控平台也发现,该Token已经上线交易所,并且至今仍有活跃交易。

该安全公司第一时间试图向项目方发出告警提示,但是由于该项目的官网已经关闭,暂时无法与项目方取得联系。

早些时候,成都链安科技发现的RMC漏洞,其原理跟此漏洞一样。如此严重漏洞在多个Token合约里同时存在,值得我们深思。一个小小的逻辑判断错误就给项目招来致命性灾难,对项目方,交易所和Token持有者都是不小的打击。该安全公司再次呼吁,项目方发行Token一定要慎之又慎,对合约代码进行详细检查,更不能随意复制网上的代码,并且在发布前寻求专业的团队对合约进行审计,杜绝隐患。

本文转载自《Token合约F_E漏洞》,版权属于原作者,已获得转载授权。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏极客编程

EOS智能合约开发和测试框架EOSFactory

自2017年秋季以来,Tokenika一直致力于创建基于Python的EOS智能合约开发平台,以便轻松创建,测试和部署智能合约。随着EOS的不断发展,我们已经习...

1091

内部区块链的优缺点

我经常转发与银行或大型企业实施的区块链实验有关的新闻,并提出这样的疑问:”他们为什么会在这种内部场景使用区块链呢?“

4437
来自专栏专注研发

区块链关键字的解析

目前大多数区块链先驱都喜欢将区块链分为三层:应用服务层、服务平台层、底层区块链核心层

2302
来自专栏区块链中本聪

区块链技术分布式数据库解决隐私

​ 主链侧链开发数字货币交易所白皮书区块链浏览器跨境支付场内场外宠物挖矿游戏基金会牌照 181-4069-6008 微信电话同号

1393
来自专栏FreeBuf

加密货币攻击之比特币:已成为可能?

考虑到网络路由攻击可能会对全球的比特币网络产生消极影响。因此,近期我们研究了网络路由攻击(例如BGP劫持)和恶意互联网服务提供商(ISP)对比特币所能产生的影响...

2146
来自专栏汇智网教程

以太坊区块链开发环境搭建指南

1K6
来自专栏圆方圆学院精选

区块链技术面试常被问到的Hyberledger Fabric关键概念

先给英文官方原文地址:https://hyperledger-fabric.readthedocs.io/en/latest/overview.html

2111
来自专栏极客编程

以太坊智能合约升级策略

本文是对以太坊中可升级智能合约领域的各种实现策略的总结 ,目的是汇总迄今为止的相关资源,以帮助我们在设计智能合约时,考虑如何对其进行升级和更新。

1142
来自专栏liuchengxu

IOTA 交易,确认和共识

与区块链技术不同,IOTA 并不是一条有着时间序列概念,每个区块前后相连的链,链中的每个块包含一些交易。在 IOTA 中,每笔交易都可以其他交易连接(所谓连接,...

1571
来自专栏极客编程

iOS和Android比特币开发3个最受欢迎的应用SDK(示例)

如今的比特币不仅是加密货币还是数字支付系统。实际上,由于其独特的功能,比特币已成为投资,储蓄甚至赚取更多钱的真正工具。在本文中,我们想谈谈3个最受欢迎的比特币应...

3073

扫码关注云+社区

领取腾讯云代金券