以太坊代币“假充值”漏洞细节及修复方案被披露

作者: 赵静   来源: 小岛财经    阅读:

  小岛财经讯 7月11日消息,慢雾科技公众号慢雾区今日发文称,以太坊代币“假充值”漏洞影响面非常之广,影响对象至少包括:相关中心化交易所、中心化钱包、代币合约等。单代币合约,不完全统计就有 3619 份存在“假充值”漏洞风险,其中不乏知名代币。相关项目方应尽快自查,这已经是真实在发生的攻击。

  相关不严谨的编码方式是一种安全缺陷,这种安全缺陷可能会导致特殊场景下的安全问题。攻击者可以利用存在该缺陷的代币合约向中心化交易所、钱包等服务平台发起充值操作,如果交易所仅判断如 TxReceipt Status 是 success 的情况就以为充币成功,就可能存在“假充值”漏洞。

  在修复方案中,除了判断交易事务 success 之外,还应二次判断充值钱包地址的 balance 是否准确的增加。其实这个二次判断可以通过 Event 事件日志来进行,很多中心化交易所、钱包等服务平台会通过 Event 事件日志来获取转账额度,以此判断转账的准确性。

  • 分享到:

  • 相关文章