客服QQ:872490018

EduCoin(EDU) 智能合约漏洞分析及修复方法

EduCoin(EDU) 智能合约漏洞分析及修复方法-碳链

5 月 24 日凌晨 01:33 时分,火币 Pro 发布公告称 EduCoin(EDU) 官方智能合约升级,慢雾安全团队综合「慢雾区」情报得知,EDU 智能合约可能存在漏洞,并随后进行了深入分析。

漏洞分析

EduCoin(EDU) 智能合约漏洞分析及修复方法-碳链

在 EDU 智能合约 transferFrom 函数中,未校验 allowed[_from][msg.sender] >= _value 并且函数内 allowed[_from][msg.sender] -= _value; 没有使用 SafeMath,导致无法抛出异常并回滚交易。

通过这个漏洞,攻击者不需要私钥即可转走指定账户里所有的 EDU,并且由于合约没有 Pause 设计,导致无法止损。

修复方法

require(balances[_from] >= _value); 下一行增加 require(allowed[_from][msg.sender] >= _value); 或者引入 SafeMath,在合约中增加 using SafeMath for uint256; 同时修改为 allowed[_from][msg.sender] = allowed[_from][msg.sender].sub(_value);


EduCoin(EDU) 智能合约漏洞分析及修复方法-碳链

*文章为作者独立观点,不代表碳链立场
本文由 慢雾科技 授权 碳链 发表,并经碳链编辑。转载此文章须经作者同意,并请附上出处(碳链)及本页链接。原文链接http://www.itanlian.com/chainnews/1469.html
发表评论
坐等沙发
相关文章
YFI创始人:做DeFi让我心生畏惧,请谨慎使用
YFI创始人:做DeFi让我心生畏惧,请谨慎…
慢雾为香港浸会大学金融硕士课程赞助“慢雾网络安全奖”​
慢雾为香港浸会大学金融硕士课程赞助“慢…
一个知名区块链游戏工作室是如何倒闭的?
一个知名区块链游戏工作室是如何倒闭的?
提问有奖·波卡是否有机会超越以太坊?
提问有奖·波卡是否有机会超越以太坊?
DeFi热潮下的安全隐患:流动性危机恐将造成连锁反应 | 非正式会谈
DeFi热潮下的安全隐患:流动性危机恐将…
慢雾:YFValue,一行代码如何锁定上亿资产
慢雾:YFValue,一行代码如何锁定上亿资产
慢雾科技
SlowMist-Team 作者
我还没有学会写个人说明!
  • 文章

    115

  • 评论

    0

广告赞助