以太坊智慧合約 Hexagon 存在溢位漏洞
最近通過對智慧合約的審計,發現了一些智慧合約相關的安全問題。
其中我們發現智慧合約Hexagon存在溢位攻擊,可產生無數的token,導致整個代幣都沒有意義。 Token地址:https://etherscan.io/address/0xB5335e24d0aB29C190AB8C2B459238Da1153cEBA
該代幣可能要上交易所,我們已第一時間向官方通知該問題。
目前發現受影響合約地址:
成因分析
問題出現在_transfer函式當中,當呼叫transfer轉幣時,會呼叫_transfer函式:
_value可控,burnPerTransaction為常量,當_value + burnPerTransaction溢位時為0,可以導致繞過驗證。
漏洞利用
合約中 burnPerTransaction = 2 ,
所以當轉賬_value為0xfffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffe時,_value + burnPerTransaction =0 ,即可成功攻擊,為balanceOf[_to]增加大量代幣。
總結
建議使用 SafeMath 來處理計算操作,避免溢位。
同時,以太坊智慧合約有很多開源合約,使用參考開源合約前,應對程式碼進行安全審計。
關於我們
0KEE Team隸屬於360資訊保安部,360資訊保安部致力於保護內部安全和業務安全,抵禦外部惡意網路攻擊,並逐步形成了一套自己的安全防禦體系,積累了豐富的安全運營和對突發安全事件應急處理經驗,建立起了完善的安全應急響應系統,對安全威脅做到早發現,早解決,為安全保駕護航。技術能力處於業內領先水平,培養出了較多明星安全團隊及研究員,研究成果多次受國內外廠商官方致謝,如微軟、谷歌、蘋果等,多次受邀參加國內外安全大會議題演講。目前主要研究方向有區塊鏈安全、WEB安全、移動安全(Android、iOS)、網路安全、雲安全、IOT安全等多個方向,基本覆蓋網際網路安全主要領域。
相關文章
- 以太坊蜜罐智慧合約分析
- 以太坊智慧合約升級策略
- 以太坊智慧合約-猜數字
- ERC20 智慧合約整數溢位系列漏洞披露
- 以太坊智慧合約gas如何估計?
- 以太坊智慧合約call注入攻擊
- 如何打造安全的以太坊智慧合約
- 富士通推出新技術檢測以太坊智慧合約漏洞
- 技術工坊|深度探索以太坊智慧合約(深圳)
- 智慧合約安全之整型溢位
- 區塊鏈——以太坊、智慧合約簡介區塊鏈
- 以太坊智慧合約開發第二篇:理解以太坊相關概念
- eth以太坊智慧合約交易平臺開發
- 什麼是以太坊?什麼是智慧合約?
- 使用Remix編譯和部署以太坊智慧合約REM編譯
- 以太坊智慧合約開發第四篇:實現Hello World智慧合約
- 【精通以太坊】——第九章 智慧合約安全
- 區塊鏈2.0以太坊智慧合約solidity之helloworld區塊鏈Solid
- 使用truffle部署以太坊智慧合約到區塊鏈區塊鏈
- 以太坊中如何獲取另外一個智慧合約部署的合約地址?
- 以太坊智慧合約開發第七篇:智慧合約與網頁互動網頁
- 從以太坊"MorphToken事件"看智慧合約建構函式大小寫編碼錯誤漏洞事件函式
- 區塊鏈之--2小時構建以太坊智慧合約區塊鏈
- olidity語言開發以太坊智慧合約中的繼承繼承
- 以太坊智慧合約開發第五篇:字串拼接—Solidity字串Solid
- 以太坊常見合約型別及其用途型別
- 如何取消以太坊智慧合約授權,防止被黑客盜取Token?黑客
- 【區塊鏈】實戰·以太坊智慧合約程式設計引導區塊鏈程式設計
- 以太坊智慧合約開發第六篇:truffle開發框架框架
- 智慧合約開發(3)—— 以太坊虛擬機器(EVM)基礎虛擬機
- 採用以太坊智慧合約技術的報名系統原始碼原始碼
- 以太坊教程:搭建環境、編寫編譯一個智慧合約編譯
- 區塊鏈100講:淺析以太坊網路智慧合約原理區塊鏈
- EOS.CYBEX孵化團隊鏈安科技發現EOS智慧合約可能出現溢位漏洞
- Polygon馬蹄鏈在以太坊上的智慧合約開發應用Go
- 以太坊智慧合約開發環境搭建以及第一個Dapp開發環境APP
- Conflux與以太坊合約開發工具區別UX
- 第九課 如何除錯以太坊官網的智慧合約眾籌案例除錯