重磅!以太坊智能合約現驚天漏洞!竟可無限增發!ERC20代幣發行方盡快自查! ——天網RBL實驗室漏洞監測系列報告1區塊鏈
近日,天網旗下RBL安全實驗室,發現基于以太坊ERC20機制的項目,在智能合約代碼中,存在重大安全漏洞,該漏洞將會直接導致已經上線運行...
近日,天網旗下RBL安全實驗室,發現基于以太坊ERC20機制的項目,在智能合約代碼中,存在重大安全漏洞,該漏洞將會直接導致已經上線運行的項目,因為惡意Owner可以不受監管,實現Token的無限增發,或,一鍵銷毀,使得項目最終導致失敗。
天網RBL安全實驗室通過自有“天網智能合約安全檢測系統”對基于ERC20的智能合約代碼進行全過程安全檢測,對Token總量、買賣交易、發行規模進行全面分析和驗證后,最終確認合約代碼中,因為項目Ownership(管理權)控制不嚴謹而會導致產生高危漏洞隱患!天網RBL安全實驗室命名該漏洞為“隱形Owner漏洞”。
與此同時,Bancor(BNT)的智能合約爆出與“隱形Owner漏洞”相似安全漏洞,導致2350萬美元資金被竊取,而這漏洞危險的根源則是因為該合約設計時的漏洞缺陷導致該該項目團隊擁有最高權限,從而黑客利用該缺陷獲取項目權限后,通過修改地址方式將這部分任意資金轉出,導致該項目蒙受巨大損失。
同時,天網RBL安全實驗室,針對該高危漏洞,首次提出一種無需修改合約代碼和無需重新部署的方式,即可修復該高危漏洞的安全解決方案。
漏洞細節:
1、在審核合約代碼中,該漏洞存在于onlyOwner函數中,智能合約Owner(項目方管理員)通過擁有該項目的Ownership(控制權)能夠觸發并利用該漏洞;如圖所示:
2、通過利用該漏洞,合約Owner如果存在惡意,可以通過特權和不受約束,實現超過原有Token總量的超額定向分配到指定地址,實現實際上的項目Token總體增發;
3、這種Owner高危漏洞,可以理解為 “后門漏洞”,供合約Owner使用,專門用來欺詐基于該合約的普通使用者(我們稱為的Token Holders),這種智能合約,可以稱為“蜜罐合約”,達到引誘普通用戶進入該項目,并惡意操控Token總量;
4、該智能合約在發布過程中,通過該漏洞,能讓自己成為Owner,或者可以說,結合提權漏洞進行利用使得更多黑客存在可能成為Owner,從而實現對合約項目交易過程和總量的惡意完全控制;
修復思路:
天網RBL安全實驗室,針對該安全漏洞,基于ERC20標準,提出了一種自創的輕量級全新修復方案:不用修改合約代碼、無需重新部署項目,充分完成對該漏洞的完全修復。以上整個操作過程順利完成后,“隱形Owner殺手”無需重新部署的修復方式完成;
天網RBL安全實驗室:
天網RBL安全實驗室致力于為區塊鏈行業打造行業安全生態環境,基于對智能合約、數字貨幣交易所、錢包等數字貨幣相關行業及時跟進和全面深入理解,從智能合約安全漏洞發掘、到數字交易所漏洞檢測,從錢包安全性檢測、到基于區塊鏈威脅情報知識庫生態,為構建整個安全區塊鏈生態環境,盡職盡責,保駕護航。任何基于以太坊機制的區塊鏈項目,如已發現存在該安全漏洞,歡迎與天網RBL安全實驗室進行溝通和交流。
天網DSCoin是由前阿里巴巴高級安全專家呂途和前網秦高級安全專家陳繼等人共同創辦,為獎勵那些提供“共享安全存儲”空間的參與者,天網發行了DSCoin代幣,DSCoin將于近期上線Fcoin交易所。
項目官網:http://www.skynetwork.top
微信公共號:SkyNet區塊鏈安全
電報群:t.me/DataShieldCoin
1.TMT觀察網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;
2.TMT觀察網的原創文章,請轉載時務必注明文章作者和"來源:TMT觀察網",不尊重原創的行為TMT觀察網或將追究責任;
3.作者投稿可能會經TMT觀察網編輯修改或補充。
