合约代码地址:https://etherscan.io/address/0x2ef27bf41236bd859a95209e17a43fbd26851f92#code
1.任意账户获得合约所有权
在低版本的 Solidity 中,构造函数是和合约名同名的函数,这样会导致如果本意是写一个构造函数,但是因为大小写等笔误导致这个构造函数跟合约名不一致,那么如果这个构造函数是
public 的,外部账户就都可以对其进行调用。 所以任意账户可以通过调用owned()函数将自己设置为owner
,再后续调用函数中绕过onlyOwner的检测。
2.transferFrom 中没有require/assert。
导致即使发送失败,返回的交易Status依然为success。或者在call中绕过未检测返回值的调用,使本该失败的交易成功。出现假充值漏洞。
3.在transfer中校验黑名单但在transferFrom
可以通过approve后使用transferFrom绕过黑名单检测发送代币
5069
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
