國家級區塊鏈項目又爆權限漏洞,是人為疏忽還是技術不行?區塊鏈
BCST區塊鏈安全研究所通過平臺的智能合約審計系統分析發現,還有一個智能合約YGGDRASH(YEED)也存在同樣的漏洞,該項目并且已經上了Huobi,Bilaxy,ForkDelta,Idex等交易所
今天有媒體報道韓國國家級區塊鏈項目ICON(ICX)智能合約代碼被爆代碼存在安全漏洞。BCST區塊鏈安全研究所通過平臺的智能合約審計系統分析發現,還有一個智能合約YGGDRASH (YEED)也存在同樣的漏洞,該項目并且已經上了Huobi,Bilaxy,ForkDelta,Idex等交易所,目前已經不能正常轉賬交易了。
接下來我們一起看下兩個合約有漏洞的部分代碼截圖
---------ICON(ICX)的部分代碼----------
---------YGGDRASH (YEED)的部分代碼----------
對比可以看出,兩個合約都存在enableTokenTransfer,disableTokenTransfer方法,兩個方法都有onlyFromWallet權限判斷,
modifier onlyFromWallet {
require(msg.sender != walletAddress);
_;
}
按理這個方法是只有walletAddres可以調用,正確邏輯應該是msg.sender==walletAdress而不是不等于
查詢兩個合約的創建時間,ICX比YEED要更早創建,由此可以看出,YEED是直接拷貝了ICX的部分代碼,并且完全沒有經過審計流程就上了交易所。
我們建議,項目方立即對合約進行快照,并升級合約,發布新合約前找專業的團隊進行審計。
此次漏洞還是因為權限判斷問題,這個權限問題我們此前的文章里面都有提及過。幸運的是,這次漏洞影響的只有轉賬功能,沒有造成丟幣損失。但是,這么大一個項目,竟然出現這樣的漏洞問題,是項目方的疏忽?還是技術方面的失誤?值得我們深思。
最后,BCST區塊鏈安全研究所再次強烈建議,為了維護廣大投資者的利益,所有上交易所的項目合約應該經過嚴格審計流程,避免由于一時疏忽給項目給投資者造成無法挽回的損失。
1.TMT觀察網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;
2.TMT觀察網的原創文章,請轉載時務必注明文章作者和"來源:TMT觀察網",不尊重原創的行為TMT觀察網或將追究責任;
3.作者投稿可能會經TMT觀察網編輯修改或補充。
