以太坊智能合约 Hexagon 存在溢出漏洞

最新推荐文章于 2022-01-03 21:28:57 发布
最新推荐文章于 2022-01-03 21:28:57 发布
阅读量494 收藏
点赞数

最近通过对智能合约的审计,发现了一些智能合约相关的安全问题。
其中我们发现智能合约Hexagon存在溢出攻击,可产生无数的token,导致整个代币都没有意义。 Token地址:https://etherscan.io/address/0xB5335e24d0aB29C190AB8C2B459238Da1153cEBA

该代币可能要上交易所,我们已第一时间向官方通知该问题。


目前发现受影响合约地址:


成因分析

问题出现在_transfer函数当中,当调用transfer转币时,会调用_transfer函数:


_value 可控, burnPerTransaction 为常量,当 _value + burnPerTransaction 溢出时为0,可以导致绕过验证。


漏洞利用

合约中 burnPerTransaction = 2 ,
所以当转账_value0xfffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffe时,
_value + burnPerTransaction =0 ,即可成功攻击,为balanceOf[_to]增加大量代币。



总结

建议使用 SafeMath 来处理计算操作,避免溢出。
同时,以太坊智能合约有很多开源合约,使用参考开源合约前,应对代码进行安全审计。

关于我们

0KEE Team隶属于360信息安全部,360信息安全部致力于保护内部安全和业务安全,抵御外部恶意网络攻击,并逐步形成了一套自己的安全防御体系,积累了丰富的安全运营和对突发安全事件应急处理经验,建立起了完善的安全应急响应系统,对安全威胁做到早发现,早解决,为安全保驾护航。技术能力处于业内领先水平,培养出了较多明星安全团队及研究员,研究成果多次受国内外厂商官方致谢,如微软、谷歌、苹果等,多次受邀参加国内外安全大会议题演讲。目前主要研究方向有区块链安全、WEB安全、移动安全(Android、iOS)、网络安全、云安全、IOT安全等多个方向,基本覆盖互联网安全主要领域。

FLy_鹏程万里
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
揭秘家用路由器0day漏洞挖掘技术
06-07
本文的内容由浅入深,由简到繁,层层深入,是初学者的入门基石,是爱好者的良师益友。全球第一本关于借用路由器底层安全分析的书籍,系统剖析路由器硬件分析之道!技术要点与实践课延伸到智能物联系统等新型领域。
【论文阅读】 智能合约安全漏洞检测技术研究综述
最新发布
weixin_46031140的博客
09-13 1093
Solidity 智能合约函数和变量的访问限制有 4 种, 即 public, private, external, internal.如果函数未使用这些标识符, 那么默认情况下, 智能合约函数的访问权限为 public, 亦即该函数允许被本合约或其他合约的任何函数调用, 这种情况可能导致该函数被攻击者恶意调用;当一个智能合约调用另一个合约中的函数时, 若函数和参数类型无法匹配到被调用合约中的函数, 此时将会默认调用该合约中的Fallback函数. 攻击者可以Fallback函数中隐藏恶意操作。
以太坊漏洞分析————1、溢出漏洞
Fly_鹏程万里
12-17 1099
事件回顾 2018年4月22日,黑客对BEC智能合约发起攻击,凭空取出 57,896,044,618,658,100,000,000,000,000,000,000,000,000,000,000,000,000,000,000.792003956564819968 个BEC代币并在市场上进行抛售,BEC随即急剧贬值,价值几乎为0,该市场瞬间土崩瓦解。 2018年4月25日,SMT项目方发现其...
ERC20 智能合约整数溢出系列漏洞披露
Fly_鹏程万里
07-22 1727
从2016年The DAO被盗取6000万美元开始 ,到美链BEC价值归零 、BAI和EDU任意账户转帐 ,再到最近EOS漏洞允许恶意合约穿透虚拟机危害矿工节点 ,“智能合约”俨然成为区块链安全重灾区。“清华-360企业安全联合研究中心”团队在区块链安全方面进行了持续研究,开发了自动化漏洞扫描工具,近期发现了多个新型整数溢出漏洞,可造成超额铸币、超额购币、随意铸币、高卖低收、下溢增持等严重危害...
vm_ops.rar_V2 _hexagon
09-23
Hexagon 指令集是专为低功耗、高性能计算设计的,常见于智能手机和其他嵌入式设备。在 Linux 内核中集成 Hexagon VM 支持,使得开发者能够利用这些优化的指令集进行系统级编程,提高设备性能。 在 "vm_ops.rar_V2_...
mem-layout.rar_hexagon_memory
09-19
Hexagon架构中,内存布局(Memory Layout)是系统设计中的关键部分,它涉及到处理器如何组织和访问存储器中的数据。Hexagon是一款由高通公司开发的数字信号处理器(DSP),其内存布局对于高效编程和优化至关重要。...
vm_entry.rar_event_hexagon
09-19
Hexagon架构中,事件(Event)入口和退出(Entry/Exit)是处理器核心执行过程中非常关键的部分。这些事件通常指的是特定的操作或者条件,比如指令的执行、中断的发生或者特定功能模块的活动。理解Hexagon处理器中...
simulation_hexagon.rar_hexagon_matlab hexagon_六边形中心_四边形
07-14
首先,"simulation_hexagon.rar" 提供了一个与六边形图形相关的文件集合。在MATLAB中,可以使用`plot`函数或更高级的`patch`函数来绘制几何形状,如六边形。`plot`函数通常用于绘制线性和曲线,而`patch`函数则可以...
hexagon下载
10-08
hexagon是qualcomm的QDSP的编译工具,但是此工具网上是没有的,只有qualcomm官网有
hexagon
09-02
hexagon
Hexagon
10-28
标题“Hexagon”很可能指的是一个与六边形图形或者与之相关的设计元素,尤其是在字体设计领域。在IT行业中,这可能是指一种特定的字体样式,其中字符或图形呈现出六角形的特征,以提供独特的视觉效果。让我们深入...
hex_case.zip_3d printer_Case File_hexagon
09-19
标题中的“hex_case.zip_3d printer_Case File_hexagon”揭示了这是一个与3D打印相关的项目,具体来说,是一个用于3D打印机的保护壳设计,设计形状为六边形,文件格式为STL。STL是“ Stereolithography”(立体光...
md5_asm.rar_hexagon_md5 linux asm_memory
09-24
标题中的“md5_asm.rar_hexagon_md5 linux asm_memory”暗示了这个压缩包包含与MD5算法相关的汇编代码,特别是在Linux环境下针对Hexagon架构的实现。Hexagon是一种由高通公司开发的低功耗处理器架构,常用于移动设备...
80-n2040-36_b_hexagon_v62_prog_ref_manual.pdf
10-16
Hexagon处理器是高通公司设计的一种高性能、低功耗的微处理器,广泛应用于智能手机和其他移动设备中,以处理复杂的计算任务,特别是与图形、多媒体和人工智能相关的运算。 手册中详细介绍了Hexagon V62的主要特性,...
以太坊智能合约漏洞实战详解:整数溢出攻击
m0_37598434的博客
03-08 2608
以太坊智能合约漏洞实战详解:整数溢出攻击 0x01 溢出攻击事件 2018年4月22日,黑客对BEC智能合约发起攻击,凭空取出 个BEC代币并在市场上进行抛售,BEC随即急剧贬值,价值几乎为0,该市场瞬间土崩瓦解。 2018年4月25日,SMT项目方发现其交易存在异常,黑客利用其函数漏洞创造了 的SMT币,火币Pro随即暂停了所有币种的充值提取业务。 2018年12月27日,以太坊智能合约Foun...
美链BEC合约漏洞技术分析
深入浅出区块链
04-26 1479
这两天币圈链圈被美链BEC智能合约漏洞导致代币价值几乎归零的事件刷遍朋友圈。这篇文章就来分析下BEC智能合约漏洞 漏洞攻击交易 我们先来还原下攻击交易,这个交易可以在这个链接查询到。 我截图给大家看一下: 攻击者向两个账号转移57896044618…000.792003956564819968个BEC,相当于BEC凭空进行了一个巨大的增发,几乎导致BEC价格瞬间归零。 下面我们来...
以太坊开发】BeautyChain (BEC) 溢出漏洞分析
秋天的博客
07-20 1368
  前言 2018年4月23日中午11点30分左右,BEC代币被Hacker攻击。 Hacker利用数据溢出漏洞攻击与美图合作的公司美链 BEC 的智能合约,成功地向两个地址转出了天量级别的 BEC 代币,导致市场上海量 BEC 被抛售,该数字货币价值几近归零,给 BEC 市场交易带来了毁灭性打击。 下面我们来分析一下此次受攻击的漏洞,作为前车之鉴。 一、Token地址: https:...
智能合约常见10个漏洞
sinat_34996559的博客
01-03 2397
1. Reentrancy also known as or related torace to empty,recursive call vulnerability,call to the unknown This exploit was missed in review so many times by so many different people: reviewers tend to review functions one at a time, and assume that call...
优化多媒体方案:Qualcomm Hexagon SDK详解与应用
Qualcomm Hexagon SDK是Qualcomm Technologies, Inc. 提供的一款旨在优化多媒体解决方案的专业工具,它利用Qualcomm Hexagon DSP的强大功能。这款SDK的主要目标是简化开发者的努力,通过动态加载和执行代码在Hexagon...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值