首页 > 活动 > 路演

以太坊erc20智能合约任意转账漏洞分析

作者:bcfans 2018-06-19 12:01:40

漏洞描述

以太坊erc20智能合约存在漏洞,transferFrom转账函数校验不严格,导致攻击者可以转走任意用户的代币。ksPBCfans | 区块链爱好者_区块链技术_区块链开发_区块链是什么

ksPBCfans | 区块链爱好者_区块链技术_区块链开发_区块链是什么

漏洞影响

昨天,经过360智能合约平台监控发现,edu代币存在交易异常,经过分析发现,其智能合约transferFrom函数存在问题,导致攻击者可以转走任意用户的代币,最后经过分析发现包括EDU在内总共有7个智能合约存在相同的问题,其代币合约地址:ksPBCfans | 区块链爱好者_区块链技术_区块链开发_区块链是什么

1.0x81f074bb3b158bf81799dcff159521a089e59a37ksPBCfans | 区块链爱好者_区块链技术_区块链开发_区块链是什么

2.0x6ec0a0901715e0d015fd775e5dfddd7f2de0308eksPBCfans | 区块链爱好者_区块链技术_区块链开发_区块链是什么

3.0x87be146d2e2d2ae71a83895a3ad15c66546af5e2ksPBCfans | 区块链爱好者_区块链技术_区块链开发_区块链是什么

4.0xf270f361edca19f7063184b0e6b4f264468ecbc1ksPBCfans | 区块链爱好者_区块链技术_区块链开发_区块链是什么

5.0x0156888f51d68f858ac88aba45df699e2af2e4cc VRTksPBCfans | 区块链爱好者_区块链技术_区块链开发_区块链是什么

6.0x14d9779b6585f3a7d4f768383b3cb030705dad2e BAIksPBCfans | 区块链爱好者_区块链技术_区块链开发_区块链是什么

7.0xa0872ee815b8dd0f6937386fd77134720d953581 EDUksPBCfans | 区块链爱好者_区块链技术_区块链开发_区块链是什么

其中前四个合约已经很久没有交易,基本废弃。目前还在交易的,影响比较打的是后三个代币。ksPBCfans | 区块链爱好者_区块链技术_区块链开发_区块链是什么

以EDU代币为例,我们可以看到较近交易数据中存在大额交易异常,如下图所示:ksPBCfans | 区块链爱好者_区块链技术_区块链开发_区块链是什么

ksPBCfans | 区块链爱好者_区块链技术_区块链开发_区块链是什么

ksPBCfans | 区块链爱好者_区块链技术_区块链开发_区块链是什么

漏洞成因

经过分析发现EDU代币的transferFrom函数中,allowed[from][msg.sender]减去要转账的数字时候,没有对比allowed[from][msg.sender]的值与value的值得大小,从而使得可以转走比allowed[from][msg.sender]大的数目的代币。ksPBCfans | 区块链爱好者_区块链技术_区块链开发_区块链是什么


ksPBCfans | 区块链爱好者_区块链技术_区块链开发_区块链是什么

ksPBCfans | 区块链爱好者_区块链技术_区块链开发_区块链是什么

如何避免这个问题

经过对这些合约的分析,我们发现基本上合约开发人员会去校验blances[from]的值,而对allowed[from][msg.sender]的校验却忽略了,合约开发者开发者应该去选择调用更安全的safemath库函数来进行数字运算操作,防止任意转账的操作。ksPBCfans | 区块链爱好者_区块链技术_区块链开发_区块链是什么

ksPBCfans | 区块链爱好者_区块链技术_区块链开发_区块链是什么

关于我们

360作为全球最大互联网安全企业,致力于提供区块链相关安全解决方案,为区块链行业客户及互联网用户提供安全保障。ksPBCfans | 区块链爱好者_区块链技术_区块链开发_区块链是什么

本文由安全客原创发布
转载,请参考转载声明,注明出处:
安全客 - 有思想的安全新媒体

公众号关注 bcfanscom 或搜索“区块链粉丝”,参与大咖直播和糖果空投活动

BCfans公众号

  • 【币圈必读】EdenChain 可编程经济平台中国区路演现场空投!
    【币圈必读】EdenChain 可编程经济平台中国区路演现 08-26 21:26

    币圈必读十万币圈人都在读!“EdenChain正在创建第三代智能合约区块链,他们将利用这些区块链实现可编程经济.通过EdenChain...

  • 上海区块链Happy Hour圆满落幕, Insee Network受与会人员重点关注
    上海区块链Happy Hour圆满落幕, Insee Network受与会 07-27 19:52

    随着区块链的快速升温,区块链的场景应用受到了各界人士越来越多的关注。2018年7月26日,“区块链项目介绍&投资人Happy hour”活动于上海举行, Insee Network受邀参与项目路演。...

  • EOS将主网上线,EOS映射攻略
    EOS将主网上线,EOS映射攻略 06-19 12:01

    重中之重!编者按:今日中午,360宣布发现EOS网络存在高危安全漏洞,可完全控制数字货币交易。下午,Block.one CEO在EOS官方群表示:Block.one 已经以最高......

  • 『学概念找员外』神奇的预言机(Oracle)?
    『学概念找员外』神奇的预言机(Oracle)? 06-19 12:01

    话说员外在2020年,有一天想带着自己的两房老婆去法国走走,结果飞机延误,耽误了半天时间。正在恼羞成怒的时候,员外的钱包里突然收到......

  • 你以为你以为的是正确的,然而不并是这样。
    你以为你以为的是正确的,然而不并是这样。 06-19 12:01

    本文由币车HIT(biche.yaofache.com)大V养成计划支持 看到这个题目,你可能有被绕晕的感觉,这是我最近一个真实的经历。昨天,我跟一个亲......

  • 机器智商——未来世界的门票
    机器智商——未来世界的门票 06-19 12:01

    本文由币车HIT(biche.yaofache.com)大V养成计划支持。慕课其实真的不错。是滴,关键还免费。大互联网时代,谁都可以成为专家,只要你愿意。......

  • TAC溯源链首次披露商业模型
    TAC溯源链首次披露商业模型 06-19 12:01

    近日,TAC溯源链(以下简称:溯源链)在京举行媒体沟通会,宣布主网将于6月30日正式上线;同时,作为创新型大数据公司,溯源链将转型升级,打破...

  • 发明区块链的荣誉将会归于谁?
    发明区块链的荣誉将会归于谁? 06-19 12:01

    看到题目的你,是不是心里在嘀咕,区块链不是中本聪发明的吗? 不好意思,中本聪发明的是比特币。 那是不是V神? 还是不好意思,V...

  • 区块链项目锁仓机制的玩法
    区块链项目锁仓机制的玩法 06-19 12:01

    作者微信:13049337188 steem,区块链内容领域的创新者,创新了诸多玩法,其中的锁仓机制被诸多后来者学习借鉴。今天就来说说看锁仓机制应...

  • 王岳华:投区块链里最有前景的项目,做最闪亮的投资人
    王岳华:投区块链里最有前景的项目,做最闪亮的投资人 06-19 12:01

    本文作者:笑傲江湖区块链的蓬勃发展一定离不开优秀投资人的推进与加持。拥有敏锐洞察力的优秀投资人,可以让有潜力的项目变得更加生动而具有...

  • 错过了币乎,希望你不会错过币车
    错过了币乎,希望你不会错过币车 06-19 12:01

    本文由币车HIT(biche.yaofache.com)大V养成计划支持前段时间赞我征文,掀起一波区块链与写作爱好者们的热潮。2018年两会中就有提及,人工智...

  • EOS主网上线,我们何去何从
    EOS主网上线,我们何去何从 06-19 12:01

    本文由币车HIT(biche.yaofache.com)大V养成计划支持明星项目——EOS,终于迎来了主网切换的重要时刻。北京时间6月2日06:59:59,EOS从以太坊网络...