严重getToken函数随意印币漏洞 :任何人可给自己的账号虚增余额

最新推荐文章于 2023-03-13 21:13:45 发布
VIP文章 最新推荐文章于 2023-03-13 21:13:45 发布
阅读量624 收藏
点赞数 1
分类专栏: 安全技术 文章标签: 智能合约 区块链 虚增余额 安比实验室
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/secbit/article/details/81316056
版权

在最近一次漏洞监控扫描中,安比(SECBIT)实验室风险监控平台发出预警,AMORCOIN (AMR) Token 合约存在致命漏洞,任何人都可以随意增加其账户上的 Token 余额。

合约地址:0x14fb4c93fe461ec3f9f22b61ab7030f258867969

安比(SECBIT)实验室小伙伴分析合约源码后发现,该合约中存在一个函数 getToken(),该函数的作用是给调用者的账户余额增加数量为 value 的 Token,value 值由调用者传入。通常合约中增发 Token 的函数仅 owner 可以调用,但是不幸的是,该合约中 getToken() 函数并未设置调用权限,并且该方法未标明可见性,默认为 public,也就是说,任何人都可以通过调用这个函数来任意增加自己账户上的 Token。

另外,通过这个函数增发 Token 后并没有修改 totalSupply 的值,间接导致了所有账户余额总和与合约标明的总量不一致,就是说totalSupply 的值并非 Token 的真实总量。

这里写图片描述

目前该项目处于公募阶段。根据 etherscan 显示,AMORCOIN (AMR) Token 交易量总计 306 笔,其最近一次交易在不到一天前,为交易较为活跃的合约。

<
最低0.47元/天 解锁文章
安比实验室SECBIT
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
GetToken,GetToken
01-30
GetToken
python人脸融合_用Python玩人脸融合,想知道你未来孩子的长相?(附代码)
weixin_39976413的博客
12-06 183
这次花了点时间,将百度智能云里面的人脸识别功能与python结合,进行了一场实验。结果还是蛮有成就感的,过程也挺简单,不会复杂,说不定,你就能融合出你孩子的长相了耶~ 下面我们一起敲起键盘吧! 前期预备百度AI开放平台账号注册用你的百度账号登陆ai.baidu.com,百度AI开放平台。然后创建一个人脸识别应用, 你就会得到API Key 和 Secret Key,这我们等会代码里要用到,...
gettoken函数有什么用_求和只能用sum函数?计算类的题,并不一定要用函数
weixin_33303537的博客
12-03 893
首先,各位同学遇到Excel计算题,不要一根筋的老想着用“函数”去解题!我们看看下面这道真题:题目要我们求出2015和2016年销量的全年总量但是,题目有说要用sum函数做吗?对于这种题目没有明确说明要用什么函数做的,我们可以用函数做,也可以直接用公式做!方法1:使用sum函数进行求和动图如下:方法2:使用公式进行求和很明显,使用sum函数解题要便捷的多,但是,我只是给大家提一个思路:“...
js中获取token函数
热门推荐
周呆呆的备忘中心
10-16 2万+
1.从cookies获取 /** * 从Cookies中获取token * */ function getToken(){ var strcookie = document.cookie;//获取cookie字符串 var arrcookie = strcookie.split("; ");//分割 //遍历匹配 for ( var i = 0; i &l...
回调函数传参c++_C/C++回调函数!学习笔记,你的小本本呢!
weixin_39996908的博客
11-20 1213
对于很多初学者来说,往往觉得回调函数很神秘,很想知道回调函数的工作原理。本文将要解释什么是回调函数、它们有什么好处、为什么要使用它们等等问题,在开始之前,假设你已经熟知了函数指针。 什么是回调函数?简而言之,回调函数就是一个通过函数指针调用的函数。如果你把函数的指针(地址)作为参数传递给另一个函数,当这个指针被用为调用它所指向的函数时,我们就说这是回调函数。为什么要使用回调函数?因为可以把调用者与...
1642_MIT 6.828 shell例程中gettoken函数的实现分析
小灰笔记
03-13 123
现在看代码的过程中能够感觉到越来越顺利了,因为通过一个个函数的分析现在掌握的基本语素积累是越来越多了。同时,几个分支以及雷同的处理让我想到了之前看过的SICP的一些处理理念。前面分析peek的时候已经看过一些类似的处理了,因此这里的这一段代码一看其实哈市很容易理解的。看到这里的eq,结合前面的q基本上就知道这两个参数的作用了。如果不是上面的几个特殊字符,那么默认是把返回值标记为字符a,同时进行另一轮的去空白并且去、|这是哪个字符处理。上面的信息记录结束之后,对于剩余的字符进行了新的去除空白操作处理。
flickr-photo-uploader:一种允许任何人将照片上传到特定 flickr 帐户的黑客
06-02
flickr-photo-uploader ... 将此令牌粘贴到 index.php 的“uploadPhoto”函数中,所有进一步的 Flickr API 调用都将有效,任何上传完成的操作都将由公众完成。 如需进一步帮助,请查看 phpFlickr 库中的 README 文件。
GetToken:此工具用于获取Facebook令牌
02-15
获取令牌 此工具用于获取令牌Facebook #Am toola bo darheneni tokeni facebook bakar de #Agadar ba nawe文件magora chwnka esh nakat #此用于获取令牌的工具Facebook#请勿更改此工具的名称,但不起作用 ...
VxPublic:springboot搭建微信公众号常用接口框架包括素材管理 消息处理与回复 账号管理二维码生成 更换微信APPID可直接使用
04-30
springboot搭建微信公众号常用接口框架包括菜单创建 素材更新 消息处理 账号管理 更换微信APPID可直接使用 该项目为一个web项目主要功能在于将微信公众号消息处理做了统一处理等,可在该项目上进行进一步的开发,...
MSI-GetToken-FunctionApp:一个Azure Function App,以帮助从Function App上配置的托管服务标识(MSI)服务中获取令牌
05-01
MSI GetToken功能应用程序一个Azure Function App,可帮助从Function App上配置的托管服务标识(MSI)服务中获取令牌。 部署在资源组中创建以下资源: 此仓库中使用GetToken函数启动的Azure函数应用。 “消费” ...
小用lambda函数
weixin_48445640的博客
09-26 419
函数只有一句代码,并且含有一个返回值时可以利用lambda函数 print((lambda a, b = 1: a + b)(1, 2)) 此时输出为3 a和b相当于python函数里的参数
python接口自动化 一个变量 其他接口要用_python接口自动化-有token的接口项目使用unittest框架设计...
weixin_39976413的博客
11-24 228
在做接口自动化的时候,经常会遇到多个用例需要用同一个参数token,并且这些测试用例跨.py脚本了。一般token只需要获取一次就行了,然后其它使用unittest框架的测试用例全部调用这个参数,那么如何实现呢?虽然python里面有个全局变量global,但这个只是针对于在同一个.py里才有效,跨脚本就不起作用了。解决思路1.首先把公共数据单独抽出来,用一个文件去管理,如yaml文件2.写一个读...
ERC20智能合约的approve千万别这样写
SECBIT区块链安全实验室
06-15 7094
作者:安比(SECBIT)实验室 最近智能合约安全事件频发,从BEC到SMT,从HXG到FXE等,最近这几个智能合约出的问题,大都是由于整数溢出漏洞导致的。大家对整数溢出是不是都杯弓蛇影了?我们是不是应该在所有的地方都加上安全检查,确保我们的代码没有问题呢?可是这样真的好吗? 我们先来看看这段代码: function approve(address _spender, uint _amou...
亚瑟王的「随机」挑战:从交互到非交互式零知识证明——探索零知识证明系列(四)
SECBIT区块链安全实验室
11-01 3894
本文作者:郭宇 本文已更新至Github https://github.com/sec-bit/learning-zkp/blob/master/zkp-intro/4/zkp-rom.md “Challenges are at times an indication of Lord's trust in you.” 挑战,有时是上天信任你的一种表现。― D. Todd Christ...
零知识证明学习资源汇总
SECBIT区块链安全实验室
11-08 3155
摘要:本文收集整理了关于零知识证明的一些学习资料,希望能对大家有所帮助。
零知识证明 Learn by Coding:libsnark 入门篇
SECBIT区块链安全实验室
01-03 2399
本文作者:p0n1@安比实验室 libsnark 是目前实现 zk-SNARKs 电路最重要的框架,在众多私密交易或隐私计算相关项目间广泛应用,其中最著名当然要数 Zcash。Zcash 在 Sapling 版本升级前一直使用 libsnark 来实现电路(之后才替换为 bellman)。毫不夸张地说,libsnark 支撑并促进了 zk-SNARKs 技术的首次大规模应用,填补了零知识证明技术从...
浅谈零知识证明之二:简短无交互证明(SNARK)
SECBIT区块链安全实验室
12-31 2105
本文作者东泽,来自安比技术社区的小伙伴,目前就读于斯坦福大学,研究方向密码学,本系列文章来源于作者在斯坦福著名的课程《CS 251: Cryptocurrencies and blockchain technologies》上的学习笔记,该课程授课老师是密码学大拿 Dan Boneh。 上一期文章发表之后,非常惊讶有那么多小伙伴读完了表示喜欢。那么我们接着这期继续吧!这次,我们专注的聊一聊SNAR...
智能合约开发必读:ERC20 Token合约你可能不知道的坑
SECBIT区块链安全实验室
05-18 1823
前不久,轰动一时的BEC事件在币圈和链圈掀起了不小的反响,智能合约安全一度成为焦点话题。 通过一个小小的整数溢出漏洞,黑客盗取了巨量的BEC token,迫使交易所不得不暂时停止交易。一时间BEC价格呈现断崖式下跌。随后,SMT token智能合约也因为相同的问题遭到了攻击。 两次事件都给项目发行方和token持有者造成了巨额的损失。 据统计,截止2018年5月12日为止,以太坊上部署的...
云中「秘密」:构建非交互式零知识证明---探索零知识证明系列(五)
SECBIT区块链安全实验室
01-10 1652
本文作者:郭宇 Once exposed, a secret loses all its power. 一旦泄露,秘密就失去了全部威力 ― Ann Aguirre 这已经是本系列的第五篇文章了,这一篇继续深入非交互式零知识证明。 本文约 12,000 字。 系列一:初识「零知识」与「证明」 系列二:理解「模拟」 系列三:寻找「知识」 系列四:随机「挑战」 提纲 CRS 的前世今生 哈密尔...
def getToken(host): res = requests.post(host) return res.json()['access_token']
最新发布
07-11
根据您提供的代码片段,这是一个名为`getToken`的函数,它接受一个`host`参数作为输入。 函数使用`requests.post()`方法向指定的`host`发送一个POST请求,并将返回的响应存储在`res`变量中。 然后,函数从响应中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值