【以太坊开发】BeautyChain (BEC) 溢出漏洞分析

最新推荐文章于 2022-08-31 16:22:27 发布
VIP文章 最新推荐文章于 2022-08-31 16:22:27 发布
阅读量1.2k 收藏 4
点赞数
分类专栏: 区块链 文章标签: eth漏洞分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ffzhihua/article/details/81137233
版权

 

前言
2018年4月23日中午11点30分左右,BEC代币被Hacker攻击。
Hacker利用数据溢出的漏洞攻击与美图合作的公司美链 BEC 的智能合约,成功地向两个地址转出了天量级别的 BEC 代币,导致市场上海量 BEC 被抛售,该数字货币价值几近归零,给 BEC 市场交易带来了毁灭性打击。
下面我们来分析一下此次受攻击的漏洞,作为前车之鉴。

一、Token地址:

https://etherscan.io/address/0xc5d105e63711398af9bbff092d4b6769c82f793d

二、BEC智能合约源码

我们不需要看完以下所有代码,重点关注第三节要分析的内容。

pragma solidity ^0.4.16;

/**
 * @title SafeMath
 * @dev Math operations with safety checks that throw on error
 */
library SafeMath {
  function mul(uint256 a, uint256 b) internal constant returns (uint256) {
    uint256 c = a * b;
    assert(a == 0 || c / a == b);
    return c;
  }

  function div(uint256 a, uint256 b) internal constant returns (uint256) {
    // assert(b > 0); // Solidity automatically throws when dividing by 0
    uint256 c = a / b;
    // assert(a == b * c + a % b); // There is no case in which this doesn't hold
    return c;
  }

  function sub(uint256 a, uint256 b) internal constant returns (uint256) {
    assert(b <= a);
    return a - b;
  }

  function add(uint256 a, uint256 b) internal constant returns (uint256) {
    uint256 c = a + b;
    assert(c >= a);
    return c;
  }
}

/**
 * @title ERC20Basic
 * @dev Simpler version of ERC20 interface
 * @dev see https://github.com/ethereum/EIPs/issues/179
 */
contract ERC20Basic {
  uint256 public totalSupply;
  function balanceOf(address who) public constant returns (uint256);
  function transfer(address to, uint256 value) public returns (bool);
  event Transfer(address indexed from, address indexed to, uint256 value);
}

/**
 * @title Basic token
 * @dev Basic version of StandardToken, with no allowances.
 */
contract BasicToken is ERC20Basic {
  using SafeMath for uint256;

  mapping(address => uint256) balances;

  /**
  * @dev transfer token for a specified address
  * @param _to The address to transfer to.
  * @param _value The amount to be transferred.
  */
  function transfer(address _to, uint256 _value) public returns (bool) {
    require(_to != address(0));
    require(_value > 0 && _value <= balances[msg.sender]);

    // SafeMath.sub will throw if there is not enough balance.
    balances[msg.sender] = balances[msg.sender].sub(_value);
    balances[_to] = balances[_to].add(_value);
    Transfer(msg.sender, _to, _value);
    return true;
  }

  /**
  * @dev Gets the balance of the specified address.
  * @param _owner The address to query the the balance of.
  * @return An uint256 representing the amount owned by the passed address.
  */
  function balanceOf(address _owner) public constant returns (uint256 balance) {
    return balances[_owner];
  }
}

/**
 * @title ERC20 interface
 * @dev see https://git
最低0.47元/天 解锁文章
秋天的春
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ERC20智能合约整数溢出系列漏洞披露
10-16
“清华-360企业安全联合研究中心”团队在区块链安全方面进行了持续研究,开发了自动化漏洞扫描工具,近期发现了多个新型整数溢出漏洞,可造成超额铸币、超额购币、随意铸币、高卖低收、下溢增持等严重危害。
基于代币智能合约整数溢出漏洞的建模与验证
07-07
针对代币智能合约的安全问题,提岀一种基于代币智能合约整数溢岀漏洞的形式化建模与验证方法。分析现有Thedao和BEC漏洞攻击...实验结果表明,该方法能成功找岀代币智能合约的整数溢出漏洞,并且具有较强的通用性。
完整ERC20批量转账教程
weixin_42502379的博客
10-11 4037
完整ERC20批量转账教程 适合新手:使用该教程,需要对eth智能合约有个基本了解(主要是供自己使用)。 代币批量转账注意点(仅测试使用): http://remix.ethereum.org 1.代币合约使用5.10编译器,批量转账合约使用4.22合约 2.environment使用本地:javaScript VM , 使用本地测试网络不能很好的兼容拜占庭(测试失败)。 3.需要调用approv...
掌握区块链浏览器的使用,应该是每一个币圈人的必修课。
大侠区块链的博客
08-17 3259
所以在上面这个网站输入一个地址,就可以搜索到该地址在所有支持的EVM链的信息 另外,在etherscan上地址的右侧有一个“b”字样的按钮,也可以点击直达。当你登陆 etherscan 的时候,可以看到有一个“Token Ignore List”的功能,开启之后就可以隐藏所有被etherscan 标记为可疑、不安全、垃圾邮件或品牌侵权的代币交易,让它们不在地址页中显示。3/10 钱包资产看板 搜索一个地址,点击 Token 一栏最右侧的钱包标识,就可以看到这个地址的所有代币、LP代币、NFT的持有情况。..
访问不了_etherscan访问不了的替代方案
weixin_35315019的博客
01-13 4586
以太坊区块链开发人员在开发去中心化应用时,免不了要用到 区块浏览器etherscan.io来调试合约或查看交易数据。但是由于 种种原因etherscan.io可能会很慢甚至访问不了,本文将给出 其他一些可用的以太坊浏览器。1、支持私有链和开发仿真器的以太坊浏览器ETHSCAN是一款简洁的以太坊浏览器,除了可以浏览以太坊主链 和各种测试链的区块与交易,你还可以使用ETHSCAN浏览自己搭建 的私有链...
在etherscan.io网站校验智能合约源码
J_Lee
11-23 1784
有图有真相,https://etherscan.io/address/0x95b0bf320f6e51ef3439aa673a7ca7b5b03746fd#code 第一步:打开校验合约源码的网址:https://etherscan.io/verifyContract2 第二步:检查网页是否正常,这一步对国内的同学们最为重要。把网页翻到底部,很多国内同学看到的页面是这样的: 实际上这个页面是错的,正确的页面是这样的: 如果你的页面上看不到“进行人机身份验证”,那么你就得先使用VPN之类的各种“网络神
高校BEC商务英语教学分析.doc
09-21
高校BEC商务英语教学分析.doc
bec.rar_bec_bec 900 mp3
07-14
BEC考试试卷内含答案,希望对大家有用,尤其是有意进外企 的
BEC中级,Part1应试技巧
最新发布
03-13
BEC中级,Part1应试技巧
Beanstalk Farms 攻击分析
Timmbe的博客
05-04 149
提案交易: https://etherscan.io/tx/0x68cdec0ac76454c3b0f7af0b8a3895db00adf6daaf3b50a99716858c4fa54c6f 攻击交易: https://etherscan.io/tx/0xcd314668aaa9bbfebaf1a0bd2b6553d01dd58899c508d4729fa7311dc5d33ad7 被攻击合约: https://etherscan.io/address/0xC1E088fC1323b20BCBee9bd1
ropsten网络配置成功
qq_30505673的博客
11-24 2507
creation of Lottery pending… https://ropsten.etherscan.io/tx/0xc4b3ac496593e3cf588b70cdba43359ea18dd6f4eec3f6bbc113c0845a518392 [block:4489386 txIndex:20]from:0xa9c…b64a1to:Lottery.(constructor)value:...
ERC20标准
S123456215的博客
05-27 697
今天我来认识ERC20标准。 以太坊是一个分布式的智能合约平台,可以分发代币(Token)。目前以太坊上有超过2万个代币的智能合约,我们可以在以太坊区块链浏览器中查看:https://www.etherscan.io 如果这么多代币的标准不统一,对于其他人来查看代码是相当痛苦的,众筹的人也就没有办法来检查代币分发的是否合理,也没有办法做到多种钱包的兼容。 所以才推出了一种以太坊代币的标准:ERC20标准。 ERC20标准涵盖了哪些内容? 我...
通俗易懂谈BEC智能合约致命漏洞
Fly_鹏程万里
06-19 1433
安全事件最近,智能合约漏洞很火。让我们再来看一下4月22日BeautyChainBEC)的智能合约中一个毁灭性的漏洞BeautyChain团队宣布,BEC代币在4月22日出现异常。攻击者通过智能合约漏洞成功转账了10^58 BEC到两个指定的地址。具体交易详情https://etherscan.io/tx/0xad89ff16fd1ebe3a0a7cf4ed282302c06626c1af33...
智能合约代码VEN
智能合约代码
04-14 587
/** *Submitted for verification at Etherscan.io on 2017-08-15 */ pragma solidity ^0.4.11; contract Owned { address public owner; function Owned() { owner = msg.sender; } ...
BEC智能合约整数溢出攻击复现
CurryXiao的博客
03-21 901
1.整数溢出攻击原理 在区块链的编程语言Solidity中,变量支持的整数类型步长以8递增,支持从uint8到uint256,以及int8到int256。一个 uint8类型 ,只能存储在范围 0到2^8-1,也就是[0,255] 的数字,一个 uint256类型 ,只能存储在范围 0到2^256-1的数字。 在以太坊虚拟机(EVM)中为整数指定固定大小的数据类型,而且是无符号的,这意味着在以...
获取地址eth,usdt 余额及最早一次交易记录
qq_41661056的博客
08-31 3566
【代码】获取地址eth,usdt 余额及最早一次交易记录。
以太猫合约之基础合约分析(一)
u010304442的博客
04-26 737
通过https://etherscan.io/查看部署在以太坊主链上的ERC721合约,排在第一位是代币名为CryptoKitties (CK)的合约,其合约地址为:0x06012c8cf97bead5deae237070f9587f8e7a266d。经查询它就是大名鼎鼎的以太猫游戏的合约地址,接下来我们就来撸撸以太猫的源码。 ...
LightCoin合约非一致性检查漏洞分析
Fly_鹏程万里
09-05 345
0×00 项目简述 LIGHT (光链) 是世界上第一个双层区块链(父链与子链)。其中,LIGHT 父链与传统的公链类似,有且仅有一个,保证记录完整、透明、不可被篡改或销毁。LIGHT子链可以是多个且相互独立存在,基于PoM validation方式,结合In-Memory数据库缓存,有效提高缓存环节吞吐量,QPS可达10万以上,实现性能大幅提高。LIGHT突破性地解决了当今数字货币在交易时处理...
BEC英语难词解译 pdf
09-17
<<用:Webshell检测真要细说起来就超过本菜鸡的能力范围之内了,大致分为: 静态检测,通过匹配特征码,特征值,危险函数函数来查找 WebShell 的方法,只能查找已知的 WebShell,并且误报率漏报率会比较高,但是如果规则完善,可以减低误报率,但是漏报率必定会有所提高。动态检测,执行时刻表现出来的特征,比如数据库操作、敏感文件读取等。语法检测,根据 PHP 语言扫描编译的实现方式,进行剥离代码、注释,分析变量、函数、字符串、语言结构的分析方式,来实现关键危险函数的捕捉方式。这样可以完美解决漏报的情况。但误报上,仍存在问题。统计学检测,通过信息熵、最长单词、重合指数、压缩比等检测。 。 引用:可以看出来,能够传参的魔术方法最简单,而d盾都是扫不出来的,只能说php语法过于灵活,诸如Demo::$_GET($_GET[1])或者是$obj->$_GET($_GET)这种形式的语法结构,正则匹配也是很难去推测的。 。 引用:而本文着重讲的是静态特征检测,静态检测通过匹配特征码,特征值,危险函数函数来查找webshell的方法,只能查找已知的webshell,并且误报率漏报率会比较高,但是如果规则完善,可以减低误报率,但是漏报率必定会有所提高。优点是快速方便,对已知的webshell查找准确率高,容易被绕过。 。 问题:请告诉我,BEC英语难词解译 pdf 对于BEC英语难词解译,我很抱歉,我没有找到相关的pdf文件。如果您需要解释某些BEC英语难词的含义,我可以帮助您。请提供您需要解释的具体单词,我将尽力为您提供解释。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值