【得得預警】ERC20智能合約又現大量整數溢出漏洞
今日清華-360企業安全聯合研究中心的張超教授團隊披露了一系列ERC20智能合約整數溢出相關漏洞。鏈得得App獨家獲悉,安比(SECBIT)實驗室針對這些漏洞,對以太坊上已部署的23357個合約進行了分析檢測,發現共有866個合約存在相同問題,統計如下:
受“underSell:高賣低收(CVE-2018-11811)”影響的共有288個;
受“ownerUnderflow:下溢增持(CVE-2018-11687)”影響的共有7個;
受“mintAny:隨意鑄幣(CVE-2018-11812)“影響的共有563個;
受“overMint:超額鑄幣(CVE-2018-11809)”影響的共有3個;
受“allocateAny:超額定向分配(CVE-2018-11810)”影響的有1個;
受” overBuy:超額購幣(CVE-2018-11809)”影響的共有4個。
安比(SECBIT)實驗室告訴鏈得得App,上述前5個漏洞皆屬於特權漏洞,黑客攻擊需要事先獲取特權用戶的私鑰。如果項目方能夠妥善管理特權用戶的賬戶,項目Token持有者不必過度擔心。但是上述Token項目方的特權用戶權力過高,建議向用戶公開說明特權使用情況。
最後1個漏洞(overBuy 超額購幣問題)作惡者需要花費較大數量的以太來繞過 Token 發售上限,且經查驗,相關項目均已結束 Token 初始銷售,目前對合約正常安全運行無影響。
出於安全考慮,SECBIT 實驗室建議後續項目方在此處增加校驗。
評論(0)
【登錄後才能評論哦!點擊 登錄】
閱讀更多 鏈得得APP 的文章