严重getToken函数随意印币漏洞 :任何人可给自己的账号虚增余额

最新推荐文章于 2024-06-18 00:55:36 发布
最新推荐文章于 2024-06-18 00:55:36 发布
阅读量665 收藏
点赞数 1
分类专栏: 安全技术 文章标签: 智能合约 区块链 虚增余额 安比实验室
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Secbit/article/details/81316056
版权
AMORCOIN Token合约被发现存在严重安全漏洞,任何人都能通过getToken函数增加自己的Token余额,未设置调用权限且不影响totalSupply,已引发安比(SECBIT)实验室和派盾(PeckShield)警告。建议项目方立即修复,用户提高警惕。
摘要由CSDN通过智能技术生成

在最近一次漏洞监控扫描中,安比(SECBIT)实验室风险监控平台发出预警,AMORCOIN (AMR) Token 合约存在致命漏洞,任何人都可以随意增加其账户上的 Token 余额。

合约地址:0x14fb4c93fe461ec3f9f22b61ab7030f258867969

安比(SECBIT)实验室小伙伴分析合约源码后发现,该合约中存在一个函数 getToken(),该函数的作用是给调用者的账户余额增加数量为 value 的 Token,value 值由调用者传入。通常合约中增发 Token 的函数仅 owner 可以调用,但是不幸的是,该合约中 getToken() 函数并未设置调用权限,并且该方法未标明可见性,默认为 public,也就是说,任何人都可以通过调用这个函数来任意增加自己账户上的 Token。

另外,通过这个函数增发 Token 后并没有修改 totalSupply 的值,间接导致了所有账户余额总和与合约标明的总量不一致,就是说totalSupply 的值并非 Token 的真实总量。

这里写图片描述

目前该项目处于公募阶段。根据 etherscan 显示,AMORCOIN (AMR) Token 交易量总计 306 笔,其最近一次交易在不到一天前,为交易较为活跃的合约。

最低0.47元/天 解锁文章
安比实验室SECBIT
关注
专栏目录
第三方登录、任意用户登录、暴露账号隐私风险等漏洞总结
墨痕诉清风的博客
07-12 222
以两步登录为例,登录输入账号密码/手机号验证码/其他的凭证信息后第一个请求校验其正确性后,第二个请求根据后端返回的账号/手机号/用户id等字段去获取用户凭证的登录逻辑。系统使用jwt作为认证字段,且其中关键用户信息字段可以遍历时,若未验参或者使用弱密钥时,便可以将用户信息字段进行更改,删除/爆破弱密钥重新生成签名,到达任意用户登录。​ 一般正常的登录流程为服务端校验完用户身份后,返回用户凭证,但某些系统由于登录前会有很多的查询用户信息类的功能请求,经常导致在登录验证前就返回了用户凭证。
回调函数传参c++_C/C++回调函数!学习笔记,你的小本本呢!
weixin_39996908的博客
11-20 1268
对于很多初学者来说,往往觉得回调函数很神秘,很想知道回调函数的工作原理。本文将要解释什么是回调函数、它们有什么好处、为什么要使用它们等等问题,在开始之前,假设你已经熟知了函数指针。 什么是回调函数?简而言之,回调函数就是一个通过函数指针调用的函数。如果你把函数的指针(地址)作为参数传递给另一个函数,当这个指针被用为调用它所指向的函数时,我们就说这是回调函数。为什么要使用回调函数?因为可以把调用者与...
逻辑漏洞Token值回显的逻辑漏洞
qq_68163788的博客
05-06 666
Token相关的逻辑漏洞指的是在身份验证和授权过程中,未正确验证token的有效性、未及时更新或刷新tokentoken泄露导致安全风险、token过于简单易猜测被破解、token未加密存储或传输、token过期时间设置不当等问题。这些漏洞可能导致未授权访问、信息泄露、身份冒充等安全隐患,严重影响系统的安全性和数据的保密性。因此,确保token机制的安全性和完整性对于系统的安全至关重要。
python人脸融合_用Python玩人脸融合,想知道你未来孩子的长相?(附代码)
weixin_39976413的博客
12-06 227
这次花了点时间,将百度智能云里面的人脸识别功能与python结合,进行了一场实验。结果还是蛮有成就感的,过程也挺简单,不会复杂,说不定,你就能融合出你孩子的长相了耶~ 下面我们一起敲起键盘吧! 前期预备百度AI开放平台账号注册用你的百度账号登陆ai.baidu.com,百度AI开放平台。然后创建一个人脸识别应用, 你就会得到API Key 和 Secret Key,这我们等会代码里要用到,...
gettoken函数有什么用_求和只能用sum函数?计算类的题,并不一定要用函数
weixin_33303537的博客
12-03 993
首先,各位同学遇到Excel计算题,不要一根筋的老想着用“函数”去解题!我们看看下面这道真题:题目要我们求出2015和2016年销量的全年总量但是,题目有说要用sum函数做吗?对于这种题目没有明确说明要用什么函数做的,我们可以用函数做,也可以直接用公式做!方法1:使用sum函数进行求和动图如下:方法2:使用公式进行求和很明显,使用sum函数解题要便捷的多,但是,我只是给大家提一个思路:“...
漏洞复现--XXL-JOB默认accessToken身份绕过漏洞
qq_53003652的博客
11-03 1488
文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行负。
js中获取token函数
热门推荐
周呆呆的备忘中心
10-16 2万+
1.从cookies获取 /** * 从Cookies中获取token * */ function getToken(){ var strcookie = document.cookie;//获取cookie字符串 var arrcookie = strcookie.split("; ");//分割 //遍历匹配 for ( var i = 0; i &l...
GetToken,GetToken
01-30
GetToken
如何使用C++实现一个简单的词法分析器来处理TINY语言,并且使用GetToken函数来识别不同的词法规则?
最新发布
10-25
如果你希望进一步提升自己的技能,继续深入学习词法分析器的设计和实现,那么《C++实现TINY语言词法分析与GetToken函数设计》将是你的不二选择。这份资料为你提供了一个全面的视角,涵盖了从理论到实践的每一步,...
C++实现TINY语言词法分析与GetToken函数设计
- 实现GetToken()函数,该函数逐个处理源代码,识别单词或记号,并返回其类型和属性。 - 利用表格存储保留字,提高识别效率,避免与普通标示符混淆。 实验源程序示例展示了基本的框架,包括输入处理、注释和空白...
1642_MIT 6.828 shell例程中gettoken函数的实现分析
小灰笔记
03-13 160
现在看代码的过程中能够感觉到越来越顺利了,因为通过一个个函数的分析现在掌握的基本语素积累是越来越多了。同时,几个分支以及雷同的处理让我想到了之前看过的SICP的一些处理理念。前面分析peek的时候已经看过一些类似的处理了,因此这里的这一段代码一看其实哈市很容易理解的。看到这里的eq,结合前面的q基本上就知道这两个参数的作用了。如果不是上面的几个特殊字符,那么默认是把返回值标记为字符a,同时进行另一轮的去空白并且去、|这是哪个字符处理。上面的信息记录结束之后,对于剩余的字符进行了新的去除空白操作处理。
AccessToken 的窃取与利用
qq_63527808的博客
01-20 643
注: 两种 token 只在系统重启后清除具有 Delegation token 的用户在注销后,该 Token 将变成Impersonation token,依旧有效。(1)Delegation Token:授权令牌,它支持交互式会话登录(例如本地用户直接登录、远程桌面登录访问)(2)Impresonation Token:模拟令牌,它是非交互的会话(例如使用net use。上述此处进行模拟:1、先登录域用户,注销后登录管理员账户。二、在 Windows 下使用工具。三、在 MSF 中使用。
小用lambda函数
weixin_48445640的博客
09-26 545
函数只有一句代码,并且含有一个返回值时可以利用lambda函数 print((lambda a, b = 1: a + b)(1, 2)) 此时输出为3 a和b相当于python函数里的参数
Web安全基础学习:暴力破解漏洞Token伪造
qq_51862722的博客
06-18 1102
Token伪造漏洞:顾名思义通过伪造JWT,以特定账户的身份欺骗系统完成验证。Token伪造是一类漏洞的统称,可以是最简单的弱密钥爆破,也可以是其他高危漏洞,但无论类型如何变化,都是基于Token进行攻击并对其身份认证功能产生威胁。
python接口自动化 一个变量 其他接口要用_python接口自动化-有token的接口项目使用unittest框架设计...
weixin_39976413的博客
11-24 264
在做接口自动化的时候,经常会遇到多个用例需要用同一个参数token,并且这些测试用例跨.py脚本了。一般token只需要获取一次就行了,然后其它使用unittest框架的测试用例全部调用这个参数,那么如何实现呢?虽然python里面有个全局变量global,但这个只是针对于在同一个.py里才有效,跨脚本就不起作用了。解决思路1.首先把公共数据单独抽出来,用一个文件去管理,如yaml文件2.写一个读...
STM32CUBEMX SYSTICK us延时
hqy450665101的博客
11-07 1751
STM32CUBEMX SYSTICK HAL库中systick定时器默认1Khz 即1ms 所以HAL_Delay()是ms延时 main函数开始会调用HAL_Init()函数 HAL_Init()函数中调用HAL_InitTick(TICK_INT_PRIORITY) HAL_InitTick()函数中调用 HAL_SYSTICK_Config(SystemCoreClock / (1000UL / (uint32_t)uwTickFreq)设置为1ms进一次中断 只需要使用HAL_SYSTICK_Co
(36.2)【Token漏洞专题】Token的原理、认证过程、爆破过程
04-17 4553
【专题】Token爆破专题
如何防止token伪造、篡改、窃取
m0_69057918的博客
07-05 7067
防止token伪造、篡改、窃取的解决方案
如何通过手机话费余额充值Q币?
rheostat的专栏
01-25 1万+
如何通过手机话费余额充值Q币?   除新疆外,其他支持地区用户可以通过短信方式买Q币。   编辑指令内容:Q币数量(3位数字)#QQ号码,发送到1065800885656。   例如:QQ号码12345,买5Q币,则编辑短信 005#12345 发送到1065800885656;买30Q币,则编辑短信 030#12345 发送到1065800885656。   不过我尝试了下此方法,但
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值