严重getToken函数随意印币漏洞 :任何人可给自己的账号虚增余额

区块链资讯SECBIT实验室2018-07-31 19:59:13  阅读 -评论 0

在最近一次漏洞监控扫描中,安比(SECBIT)实验室风险监控平台发出预警,AMORCOIN (AMR) Token 合约存在致命漏洞,任何人都可以随意增加其账户上的 Token 余额。

合约地址:0x14fb4c93fe461ec3f9f22b61ab7030f258867969

安比(SECBIT)实验室小伙伴分析合约源码后发现,该合约中存在一个函数 getToken(),该函数的作用是给调用者的账户余额增加数量为 value 的 Token,value 值由调用者传入。通常合约中增发 Token 的函数仅 owner 可以调用,但是不幸的是,该合约中 getToken() 函数并未设置调用权限,并且该方法未标明可见性,默认为 public,也就是说,任何人都可以通过调用这个函数来任意增加自己账户上的 Token。

另外,通过这个函数增发 Token 后并没有修改 totalSupply 的值,间接导致了所有账户余额总和与合约标明的总量不一致,就是说totalSupply 的值并非 Token 的真实总量。


目前该项目处于公募阶段。根据 etherscan 显示,AMORCOIN (AMR) Token 交易量总计 306 笔,其最近一次交易在不到一天前,为交易较为活跃的合约。

安比(SECBIT)实验室已于第一时间向项目方发出预警提示。据悉,派盾(PeckShield)团队也独立发现了该问题。另外安比(SECBIT)实验室风险监控平台显示,存在同样问题的合约还有两个。

该问题已收录至智能合约风险列表, 该列表由安比(SECBIT)实验室发起共建并持续维护的 Token 合约问题列表,我们将不间断更新问题 Token 合约信息。
https://github.com/sec-bit/awesome-buggy-erc20-tokens

安比(SECBIT)实验室提醒项目方应采取措施,及时做好补救工作。我们同时也请普通持币用户保持警惕。安比(SECBIT)实验室再次呼吁,项目方发行 Token 一定要慎之又慎,遵守智能合约安全开发规范,引入安全审计流程,必要的时候采用形式化验证 手段,确保万无一失。

智能合约形式化验证示例:https://github.com/sec-bit/tokenlibs-with-proofs

参考文献

[1] 智能合约风险列表(awesome-buggy-erc20-tokens) https://github.com/sec-bit/awesome-buggy-erc20-tokens

[2] 安⽐(SECBIT)实验室携⼿路印(Loopring)共同发布智能合约风险列表 https://mp.weixin.qq.com/s/XbXlrmt0fi9IgxicmdAF0w

[3] 构造形式化证明,解决智能合约安全问题——你的合约亟待证明 https://mp.weixin.qq.com/s/Dk8FAODv2SeFXmDgGaQduw

[4] tokenlibs-with-proofs https://github.com/sec-bit/tokenlibs-with-proofs

以上数据均由安比(SECBIT)实验室提供

安比(SECBIT)实验室

安比(SECBIT)实验室专注于区块链与智能合约安全问题,全方位监控智能合约安全漏洞、提供专业合约安全审计服务,在智能合约安全技术上开展全方位深入研究,致力于参与共建共识、可信、有序的区块链经济体。

安比(SECBIT)实验室创始人郭宇,中国科学技术大学博士、耶鲁大学访问学者、曾任中科大副教授。专注于形式化证明与系统软件研究领域十余年,具有丰富的金融安全产品研发经验,是国内早期关注并研究比特币与区块链技术的科研人员之一。研究专长:区块链技术、形式化验证、程序语言理论、操作系统内核、计算机病毒。


声明:链世界登载此文仅出于分享区块链知识,并不意味着赞同其观点或证实其描述。文章内容仅供参考,不构成投资建议。投资者据此操作,风险自担。此文如侵犯到您的合法权益,请联系我们100@7234.cn

参与讨论 (0 人参与讨论)

相关推荐

噪音交易者

噪音交易者

诺贝尔奖获得者,《思考快与慢》作者,丹尼尔·卡尼曼在之前文章也介绍过他系统1和系统2的人类心理的两面性。虽然他是作为经济学家出名的,但他所研究的方向其实是人的认知对经济行为的影响,他做过的一个实验讲起的,其实就是一项民意调查,调查人员对大量的、各种学历和知识背景的人提出这样一个问题:如果遇到一种致命的瘟疫,有 600 个被感染者,第一种救治方法可以保住 200 人的命,第二种方法有 1/3 的可能

现实与投资互为镜像世界

现实与投资互为镜像世界

曾几何时,你是否一度对未来的不确定性感到担忧,不知所措。工资的增长永远都赶不上物价和房价的飞涨。那时候你不知道量化宽松和通货膨胀,正在攫取你创造的价值。然后你一路成长,终于开始接触投资领域,从银行理财,到余额宝的货币基金,到国债,股权投资,还有后来非常火爆的P2P,当然当你看到这篇文章的时候,你大概已经开始投资加密货币,或者说正准备进入加密市场。新人进场,如无头苍蝇一样,确实,在未知的行业里,每个

区块链技术要革游戏的命

区块链技术要革游戏的命

2018年是区块链的应用元年,区块链可实现开放的数字价值的流转,正在构建一种新型的价值网络,用技术为信任背书。各个领域都急需借助区块链构建公开透明的营商环境,越来越多的科技企业投身于区块链技术的心研发与产业化浪潮中。区块链正以远超我们想象的速度在各个领域改变着我们的生活。在游戏领域也同样如此。早在2016年,就有业内专家预测,区块链将成为游戏的下一次变革。2017年11月Cryptokitties

错过与侥幸的辩证

错过与侥幸的辩证

但凡踏进币圈两年的投资者,经历过2017年大牛市和跌跌撞撞的2018年,见证过它起高楼,眼见它宴宾客,眼见它楼塌了。借用周星驰的话来说:人生的大起大落,简直太刺激了,深深被币圈的暴涨暴跌所吸引,干脆是无法自拔。在投资币市的过程中,最主要的是选择,选择意味着有无数的情况会出现,并不是想象中美好的事情都会发生,买入百倍币,会所嫩模随你挑。事实上,大多数人需要面对的以下两种情况:踏空和入坑。首先说踏空,

中信银行打造“区块链”信用证结算!

中信银行打造“区块链”信用证结算!

科技不会改变金融的实质,但却能让金融服务更高效,能让资金供、需方信息不对称的问题更好地解决。近期,中信银行首个区块链项目——基于区块链的国内信用证信息传输系统(简称BCLC)(一期)成功上线,这是国内银行业第一次将区块链技术应用于信用证结算领域。 据中信银行国际业务部总经理助理张栩青介绍,将现在流行的区块链技术应用在国内信用证中,改变了银行传统信用证业务模式,信用证的开立、通知、交单、承兑报文

中国信息技术部门成立区块链研究实验室

中国信息技术部门成立区块链研究实验室

暴走时评:本月初,中国政府对国内的ICO和数字货币交易所的打击在世界范围内引起了强大反响,但政府已经多次声明不会将区块链与数字货币划等号,依然非常重视区块链技术在中国的发展。鉴于中国工业和信息化部成立了一个专门研究区块链的实验室,这一论调也得到了进一步的证实。 虽然中国政府最近在大力打击比特币交易所和ICO,但仍然致力于开发区块链在其他领域的潜力。 据财新网报道,中国工业和信息化部已经成立了一

 分布式账本中的生命科学

分布式账本中的生命科学

生物科学是医学领域涉及遗传研究,疾病预防和生活方式治疗(lifestyle treatments)的学科。它已经存在了很长时间,但区块链技术的基础设施应用给该学科提供了重大进步的可能性。 根据Pistoia Alliance进行的2016年6月份高级制药和生命科学领袖调查,83%的受访者表示,他们预计在五年内将全面采用区块链技术。 Pistoia Alliance是一个全球性的非营利组织,致

区块链vs.核能:日本最大电力公司东京电力(TEPCO)寻求使用区块链减轻对核电的依赖

区块链vs.核能:日本最大电力公司东京电力(TEPCO)寻求使用区块链减轻对核电的依赖

东京电力公司 (TEPCO) 对于能源过度中心化的风险可以说绝不陌生。 也许最著名的就是2011年发生的福岛核电站事故,这个日本最大的能源公司如今正在寻求区块链技术来防止这种灾难再次发生。 然而,从使用微型风车的分布式风力发电到用于存储在电力成本低时购买的电力的智能电池,可替代能源项目一直以来都属于个人慈善事业。 然而,TEPCO风险投资部门主管Jeffrey Char认为区块链能够帮助为这

麦妖榜
更新日期 2019-05-26
排名用户贡献值
1BitettFan23907
2等待的宿命23809
3六叶树20309
4区块大康17751
5天下无双16192
6linjm122715005
7lizhen00214933
8让时间淡忘14390
9牛市来了11912
10冷风大q11188
返回顶部 ↑