9份合约惊现同一致命漏洞 —— 新型无限授权转账漏洞分析
7月10日晚, 安比(SECBIT)实验室创建并维护的智能合约风险列表仓库中接收到问题合约提交请求(漏洞报告者 xhyumiracle 来自长亭科技)。
Lightcoin Token合约(合约地址:0xd97579Cea3fE2473682a4C42648134BB982433B9)的授权转账方法存在漏洞,授权账户可无限转出被授权账户的金额,并且,授权账户可以利用这个漏洞给任意账户授权。
Lightcoin 合约的 transferFrom() 函数,即授权转账函数,在执行完转账后本该修改授权金额,减去已转出部分金额。
但这一步骤中把这授权账户地址写错了,也就是将allowed[_from][msg.sender] -= _value; 误写成了 allowed[_from][_to] -= _value;,进而引发了漏洞。
注:_from 地址为被授权地址,实际转出 Token 的地址:_to 地址为转账接收地址:msg.sender 为当前操作账户地址,也就是,授权账户地址。
安比(SECBIT)实验室小伙伴迅速分析了该漏洞指出,这个漏洞引发的后果有两方面:授权账户在完成授权转账后,其被授权的金额不会改变,也就是说,授权账户可以无限转出被授权账户的金额。
转账完成后实际修改的是这笔转账接收地址(to)对于被授权账户 _from 的授权转账金额,但是由于对 allowed[_from][_to] -= _value;操作并没有做溢出校验,可以利用溢出来给 _to 地址巨额的授权。
若 _to 地址原本就有授权,那么授权金额可能减小,也可能溢出为一个极大的值。
若 _to 地址原本没有授权,即 allowed[_from][_to 值为 0, 就可以利用溢出获得这个被授权地址(_from 地址)的授权,一旦授权后,就可以无限转账。
据悉,Lightcoin 项目方已获知该漏洞并已完成合约升级工作,提醒广大持币用户不必恐慌,做好升级工作即可。
目前问题合约已作废:0xd97579Cea3fE2473682a4C42648134BB982433B9升级后新合约地址为:0x1295b55fA04FBAc6d9e7c351Ecb3486e88129027根据安比(SECBIT)实验室风险监控平台显示,存在相同漏洞的合约共 9份,强烈建议各个项目方和交易所及时做好自查工作。
下图为该问题的合约地址(出于对项目方的保护,合约地址已部分马赛克)。
该漏洞目前已被收录至智能合约风险列表,该列表由安比(SECBIT)实验室发起共建并持续维护的 Token 合约问题列表,至今已收录了28类合约漏洞及风险,问题合约数量超过4000份,我们将不间断更新问题 Token 合约信息,同时也欢迎更多的小伙伴能够参与进来,共同维护这份问题合约列表。
https://github.com/sec-bit/awesome-buggy-erc20-tokens安比(SECBIT)实验室再次呼吁,项目方发行 Token 一定要慎之又慎,遵守智能合约安全开发规范,引入安全审计流程,必要的时候采用形式化验证 手段,确保万无一失。
智能合约形式化验证示例:https://github.com/sec-bit/tokenlibs-with-proofs致谢:特别感谢长亭科技小伙伴 xhyumiracle 的及时报告。
参考文献 [1] 智能合约风险列表(awesome-buggy-erc20-tokens) https://github.com/sec-bit/awesome-buggy-erc20-tokens [2] 安?(SECBIT)实验室携?路印(Loopring)共同发布智能合约风险列表 https://mp.weixin.qq.com/s/XbXlrmt0fi9IgxicmdAF0w[3] Lightcoin (Light) https://etherscan.io/token/0xd97579Cea3fE2473682a4C42648134BB982433B9[4] 构造形式化证明,解决智能合约安全问题——你的合约亟待证明 https://mp.weixin.qq.com/s/Dk8FAODv2SeFXmDgGaQduw[5] tokenlibs-with-proofs https://github.com/sec-bit/tokenlibs-with-proofs以上数据均由安比(SECBIT)实验室提供。
当前大家对于9份合约惊现同一致命漏洞 —— 新型无限授权转账漏洞分析都是颇为感兴趣的,那么小编也是在网络上收集了一些相关信息以便大家阅读。相关文章
- 美国银行业巨头摩根大通公布抗量子攻击的量子密钥分发(QKD)区块链网络的研究
- 承认加密资产和智能合约的法律地位,抢占加密交易市场
- 欧洲监管机构将围绕加密货币展开监管行动(欧盟金融监管机构)
- 中国银行邢桂伟:区块链技术还在发展中 完全肯定或否定都不公平
- 国家特聘专家,北京航天航空大学教授蔡维德:旧区块链思维面临淘汰
- 中央财经大学数字财经研究中心陈波主任: 金融监管与创新如何相辅相成
- 美国加州通过消费者隐私法防个人信息被滥用(美国加州消费者隐私法案全文)
- 值得收藏!《区块链与供应链金融白皮书》(人人都懂区块链读后感)
- 智能合约“智能”吗?(对智能合约支持的平台有)
- 财政部大喝一声:还愣着干啥,赶快发地方债!