合约安全(2):Bancor Network权限配置错误漏洞

最新推荐文章于 2024-07-01 14:52:16 发布
最新推荐文章于 2024-07-01 14:52:16 发布
阅读量691 收藏
点赞数
分类专栏: 胖达的区块链安全工坊 文章标签: 区块链 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cemao4548/article/details/107160479
版权
2020年6月,BancorV2上线后发现安全漏洞,攻击者可利用合约中公共函数窃取用户资产。本文详细介绍了漏洞原理、遗留问题以及救援措施,强调了权限设置错误带来的风险,受影响的token总价值约$409,656。建议项目在上线前进行代码审计以确保安全性。" 136365168,8753399,使用DCMTK输出日志到控制台实践,"['DCMTK', '日志管理', 'C++', '开源库']

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Abstract

2020年6月16日,BancorV2上线以太坊主网。
2020年6月18日,Bancor Network团队发现了其BancorV2智能合约的安全漏洞。
Bancor团队发现漏洞
漏洞导致攻击者可盗取Bancor合约用户的资产。
本文将介绍一下攻击的细节和这次安全事件的始末。

漏洞原理

本次安全事件一共涉及三个有漏洞的智能合约。

  • 0x8dfeb86c7c962577ded19ab2050ac78654fea9f7
  • 0x5f58058C0eC971492166763c8C22632B583F667f
  • 0x923cab01e6a4639664aa64b76396eec0ea7d3a5f

三个合约内容相似,都实现了 TokenHandler contract
该合约关键functions如下:
TokenHandler Fucntions可见实现了三个关键函数

safeApprove
safeTransfer
safeTransferFrom

非预期的是,三个函数的Access Control全都是public,
意味着任何人可以调用该函数来进行转账操作。
攻击者可以调用 safeTransferFrom函数,其中_from设为任何该合约的用户,_to设为攻击者自己的address。从而无

最低0.47元/天 解锁文章
学习1:调用合约接口(授权,提供流动性)
fengjinghong的博客
02-24 7144
uniswap 官方接口文档:https://uniswap.org/docs/v2/smart-contracts/router02/#interface 测试地址:0x7a250d5630B4cF539739dF2C5dAcb4c659F2488D // SPDX-License-Identifier: GPL-3.0 pragma solidity >=0.6.2; interface uniSwap{ // 1、用指定的代币交唤代币 function swapExa
Definition and Detection of Defects in NFT Smart Contracts论文解读、复现
最新发布
qq_61786525的博客
09-11 1031
主要组件:负责接收和处理输入的Solidity源代码。用于检测合约中的关键特征,如映射存储、删除操作和外部调用。基于符号执行构建控制流图(CFG),用于分析合约的执行路径。根据预定义的规则和模式识别和报告检测到的缺陷。用户输入Solidity源代码,该代码被编译成EVM字节码和抽象语法树(AST)以供进一步分析。Inputter组件从AST中提取源映射信息,并使用槽映射来存储变量与它们槽ID之间的映射关系。
Bayesian Network Fundamentals
supercloud的专栏
02-02 734
Probabilistic Graph Model
ERC721标准合约接口事件和方法分析
FeelTouch Labs
06-14 1930
ERC721是一个代币标准,ERC721官方定义为Non-Fungible Tokens,简写为NFTs,即非同质代币。
solidity第十课——接口
qq_52708261的博客
09-24 3221
solidity第十课——接口
ERC721标准接口
weixin_45976751的博客
08-09 4050
ERC721标准
contracts-solidity:Bancor协议合同
04-27
Bancor智能合约的实体版本由许多不同的组件组成,这些组件可以一起创建Bancor Network部署。 主要合同是BancorNetwork合同(指向系统的入口)和不同的转换者合同(实施流动资金池及其准备金)。 可升级性 所有智能...
bancor-bs:bancor基本模拟
05-17
Bancor基本模拟 使用Bancor储备合同进行套利交易行为的基本模拟。 它包含Bancor合同中交易逻辑的实现,并提供了Geometric Wiener和GARCH价格模型进行仿真。
webapp:Bancor SwapAnalytics网络应用
04-05
Bancor Web应用程序 关于 开源令牌交换和池流动性门户 家政服务 所有时间都在UTC 开发团队 每日站立 上午7:45 平日工作时间 城市 约翰·威廉姆森 扬·朗海默(Jan Langheimer) 兰·科恩(Ran Cohen) Git策略 请在...
katanapools:Bancor高级交易和流动性小部件。 在Bancor Trading和流动性小工具挑战赛中获得一等奖
05-07
创建此Alpha是为了响应Bancor贸易和流动性小工具 该应用程序可在主网上以及Ropsten上运行,目前已通过Metamask测试。 可在找到用于发现创建,资金和清算池以及交换可转换和智能代币的实时部署 特征 流动资金池创建...
Bancor协议:智能合约区块链上的自动价格发现和流动机制
2. 智能合约平台:Bancor协议可以应用于智能合约平台,实现自动价格发现和自主流动机制,提高平台的可靠性和安全性。 3. 区块链应用:Bancor协议可以应用于区块链应用,实现自动价格发现和自主流动机制,提高应用的...
Solidity极简入门#14. 抽象合约和接口
sleep的博客
02-17 1154
这一讲,我介绍了solidity中的抽象合约(abstract)和接口(interface),他们都可以写模版并且减少代码冗余。我们还讲了ERC721接口合约IERC721,以及如何利用它与无聊猿BAYC合约进行交互
NFT交易市场(二)
thq_kuqi的博客
03-12 578
然后在hardhat.config.js文件中添加。命令运行,然后就可以看到abi文件夹如下图所示。
来聊聊以太坊代币标准 ERC-20、ERC-721、和ERC-1155
weixin_45047825的博客
11-15 1354
接口: ERC-1155定义了一组方法和事件,例如safeTransferFrom(address from, address to, uint256 id, uint256 amount, bytes data)用于安全转移代币,balanceOf(address owner, uint256 id)用于查询特定类型代币的余额等。ERC-1155 的灵活性在于,它可以同时支持多种类型的代币(例如,可以包含 ERC-20 和 ERC-721 类型的代币)。每个NFT代表特定的数字或实物资产。
Michael.W基于Foundry精读Openzeppelin第47期——SafeERC20.sol
Revelation_of_Turing
01-17 1392
SafeERC20库封装了ERC20的操作,使各操作执行失败时触发revert。因为标准IERC20的转账和授权等需通过一个bool返回值来表示操作是否成功,可能实现合约内部没有设置revert机制。有的ERC20合约的授权或转账的实现并无返回值(以太坊上的USDT合约),此时可通过本库与其交互
【openzeppelin学习系列】ERC20
weixin_58043003的博客
07-01 2159
ERC20基础
代币标准--ERC721协议源码解析
qq_42188030的博客
08-07 3226
智能合约、ERC1155、solidity
BTA | 张犁 :为什么需要一个通用区块链资产平台?
区块链大本营
04-06 3319
在张犁看来,区块链被认为是一个传递资产价值的网络,但直到目前为止,区块链的主要方向还是加密货币,并没有对现实世界中的(物理)资产、服务、虚拟数字资产提出一个通用的解决方案。然后,他对 ERC20 和 ERC721 的定义进行了解释,前者是可替换的资产,后者是不可替换的资产。那什么是 ERC721?他通过一段英文进行了阐述:ERC721是不可替换资产的智能合约所必须要实现的最少的interface。
学习二:调用流动性接口,进行添加流动性
热门推荐
fengjinghong的博客
03-01 1万+
1、部署合约后调用添加流动性的函数的各个参数: 2、调用函数成功后的交易截图如下: 代码参考: * 注意——(代码片段前面的有些接口,库函数并未使用,是用来做其他操作的) *(在提供流动性的时候注意合约是否有足够的相应的币,如果不够会报“金额不足”的错误,最后执行也不会成功,所以调试的时候数值尽量写的少一点就可以了,,,,记住一定得提前向合约中提供相应的币才可以进行添加流动性操作。,,,) // SPDX-License-Identifier: GPL-3.0 pragma solidity
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

可爱多多白

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值