点击蓝字 关注我们
01
漏洞分析
漏洞合约地址
https://cn.etherscan.com/address/0x15bcdfad12498de8a922e62442ae4cc4bd33bd25#code
第618行通过onlyMinter修饰符知道合约的部署者拥有Minter函数的调用权限
结合666行知道onlyMinter修饰符限制只有合约部署者才能调用mint函数,从667行可以得知可以向任意account(账户)转账任意amount(数量代币),也就是说合约部署者可以验证通过onlyMinter修饰符调用mint函数实现任意账户代币增持。
交易hash
0xc0f3b0576f18a714d78b822754489d4201c9e36fb0ce4b2f53a93217564710e5
此自攻击事件是由于合约管理员内部操纵,铸造5亿多个WALT代币,价值约为($285,000.00),制使项目投资者造成严重损失!
02
安全建议
-
设计合理的访问控制模型,并在代码中进行校验
-
合理使用可见性约束和modifier
-
使用形式化验证检测智能合约的访问控制漏洞
本文始发于微信公众号(IDLab):WALTToken合约攻击事件分析
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论