首页 曝光台 重磅!以太坊智能合约现惊天漏洞!竟可无限增发!ERC20代币发行方尽快自查! ——天网RBL实验室漏洞监测系

重磅!以太坊智能合约现惊天漏洞!竟可无限增发!ERC20代币发行方尽快自查! ——天网RBL实验室漏洞监测系

近日,天网旗下RBL安全实验室,发现基于以太坊ERC20机制的项目,在智能合约代码中,存在重大安全漏洞,该漏洞将会直接导致已经上线运行的项目,因为恶意Owner可以不受监管,实现Token的无限增发,或一键销毁,使得项目最终导致失败。

天网RBL安全实验室通过自有“天网智能合约安全检测系统”对基于ERC20的智能合约代码进行全过程安全检测,对Token总量、买卖交易、发行规模进行全面分析和验证后,最终确认合约代码中,因为项目Ownership(管理权)控制不严谨而会导致产生高危漏洞隐患!天网RBL安全实验室命名该漏洞为“隐形Owner漏洞”。

与此同时,BancorBNT)的智能合约爆出与隐形Owner漏洞相似安全漏洞,导致2350万美元资金被窃取,而这漏洞危险的根源则是因为该合约设计时的漏洞缺陷导致该该项目团队拥有最高权限,从而黑客利用该缺陷获取项目权限后,通过修改地址方式将这部分任意资金转出,导致该项目蒙受巨大损失。

同时,天网RBL安全实验室,针对该高危漏洞,首次提出一种无需修改合约代码和无需重新部署的方式,即可修复该高危漏洞的安全解决方案。

 

漏洞细节: 

1、 在审核合约代码中,该漏洞存在于onlyOwner函数中,智能合约Owner(项目方管理员)通过拥有该项目的Ownership(控制权)能够触发并利用该漏洞;如图所示:

 

 

2通过利用该漏洞,合约Owner如果存在恶意,可以通过特权和不受约束,实现超过原有Token总量的超额定向分配到指定地址,实现实际上的项目Token总体增发;

 

 

3这种Owner高危漏洞,可以理解为 “后门漏洞”,供合约Owner使用,专门用来欺诈基于该合约的普通使用者(我们称为的Token Holders),这种智能合约,可以称为“蜜罐合约”达到引诱普通用户进入该项目,并恶意操控Token总量;

4该智能合约在发布过程中,通过该漏洞,能让自己成为Owner,或者可以说,结合提权漏洞进行利用使得更多黑客存在可能成为Owner,从而实现对合约项目交易过程和总量的恶意完全控制;

修复思路:

天网RBL安全实验室,针对该安全漏洞,基于ERC20标准,提出了一种自创的轻量级全新修复方案:不用修改合约代码、无需重新部署项目充分完成对该漏洞的完全修复。以上整个操作过程顺利完成后,“隐形Owner杀手”无需重新部署的修复方式完成;

天网RBL安全实验室:

天网RBL安全实验室致力于为区块链行业打造行业安全生态环境,基于对智能合约、数字货币交易所、钱包等数字货币相关行业及时跟进和全面深入理解,从智能合约安全漏洞发掘、到数字交易所漏洞检测,从钱包安全性检测、到基于区块链威胁情报知识库生态,为构建整个安全区块链生态环境,尽职尽责,保驾护航。任何基于以太坊机制的区块链项目,如已发现存在该安全漏洞,欢迎与天网RBL安全实验室进行沟通和交流。

天网DSCoin是由前阿里巴巴高级安全专家吕途和前网秦高级安全专家陈继等人共同创办,为奖励那些提供共享安全存储空间的参与者,天网发行了DSCoin代币,DSCoin将于近期上线Fcoin交易所。 

项目官网:http://www.skynetwork.top

微信公共号:SkyNet区块链安全

电报群:t.me/DataShieldCoin

 


免责声明:
1、本文仅代表陀螺专栏作者本人观点,不代表陀螺财经观点或立场。如有侵权等其它事项,请联系作者,会尽快删除。
2、转载须注明作者和稿件源自陀螺财经,违者将依法追究责任。

相关文章

伟大的渺小
努力不会徒劳

10篇

文章总数

10万+

总热度

热门文章

rss订阅