WALTToken合约攻击事件分析

  • A+
所属分类:安全文章

点击蓝字  关注我们

01

漏洞分析

漏洞合约地址

https://cn.etherscan.com/address/0x15bcdfad12498de8a922e62442ae4cc4bd33bd25#code

WALTToken合约攻击事件分析

第618行通过onlyMinter修饰符知道合约的部署者拥有Minter函数的调用权限

WALTToken合约攻击事件分析

结合666行知道onlyMinter修饰符限制只有合约部署者才能调用mint函数,从667行可以得知可以向任意account(账户)转账任意amount(数量代币),也就是说合约部署者可以验证通过onlyMinter修饰符调用mint函数实现任意账户代币增持。

交易hash

0xc0f3b0576f18a714d78b822754489d4201c9e36fb0ce4b2f53a93217564710e5

WALTToken合约攻击事件分析

此自攻击事件是由于合约管理员内部操纵,铸造5亿多个WALT代币,价值约为($285,000.00),制使项目投资者造成严重损失!

WALTToken合约攻击事件分析

02

安全建议

  1. 设计合理的访问控制模型,并在代码中进行校验

  2. 合理使用可见性约束和modifier

  3. 使用形式化验证检测智能合约的访问控制漏洞

WALTToken合约攻击事件分析


本文始发于微信公众号(IDLab):WALTToken合约攻击事件分析

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: