WALTToken合约攻击事件分析

admin
admin
admin
138832
文章
114
评论
2021年8月20日05:09:13评论68 views字数 511阅读1分42秒阅读模式

点击蓝字  关注我们

01

漏洞分析

漏洞合约地址

https://cn.etherscan.com/address/0x15bcdfad12498de8a922e62442ae4cc4bd33bd25#code

WALTToken合约攻击事件分析

第618行通过onlyMinter修饰符知道合约的部署者拥有Minter函数的调用权限

WALTToken合约攻击事件分析

结合666行知道onlyMinter修饰符限制只有合约部署者才能调用mint函数,从667行可以得知可以向任意account(账户)转账任意amount(数量代币),也就是说合约部署者可以验证通过onlyMinter修饰符调用mint函数实现任意账户代币增持。

交易hash

0xc0f3b0576f18a714d78b822754489d4201c9e36fb0ce4b2f53a93217564710e5

WALTToken合约攻击事件分析

此自攻击事件是由于合约管理员内部操纵,铸造5亿多个WALT代币,价值约为($285,000.00),制使项目投资者造成严重损失!

WALTToken合约攻击事件分析

02

安全建议

  1. 设计合理的访问控制模型,并在代码中进行校验

  2. 合理使用可见性约束和modifier

  3. 使用形式化验证检测智能合约的访问控制漏洞

WALTToken合约攻击事件分析


本文始发于微信公众号(IDLab):WALTToken合约攻击事件分析

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年8月20日05:09:13
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   WALTToken合约攻击事件分析https://cn-sec.com/archives/358057.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息