EDU 智能合约出现重大漏洞,可转走任意账户的 EDU Token

最新推荐文章于 2024-05-25 14:12:34 发布
最新推荐文章于 2024-05-25 14:12:34 发布
阅读量145 收藏
点赞数
原文链接:https://yq.aliyun.com/articles/596589
版权

又双叒叕有智能合约曝出漏洞了。

据慢雾区最新消息,EDU 智能合约出现重大漏洞,可转走任意账户的 EDU Token。

目前已经发现有黑客的大量洗劫行为,攻击者不需要私钥即可转走你账户里所有的 EDU,并且由于合约没有 Pause 设计,导致无法止损。

据慢雾区分析,在 transferFrom 函数中,未校验 allowed[_from][msg.sender] >= _value 并且函数内 allowed[_from][msg.sender] -= _value; 没有使用 SafeMath,导致无法抛出异常并回滚交易。

EDU 智能合约出现重大漏洞,可转走任意账户的 EDU Token

悲惨的是,由于合约没有 Pause 设计,导致无法止损,目前只能耐心等待官方公告。

链接:EduCoinToken (EDU) ERC20 Token Tracker

补充修复方法: 在 require(balances[_from] >= _value); 下一行增加 require(allowed[_from][msg.sender] >= _value); 或者引入 SafeMath,在合约中增加 using SafeMath for uint256; 同时修改为 allowed[_from][msg.sender] = allowed[_from][msg.sender].sub(_value);


原文发布时间为:2018-05-24

本文作者:郭佳

本文来自云栖社区合作伙伴“雷锋网”,了解相关信息可以关注“雷锋网”。

weixin_33912638
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ERC20智能合约整数溢出系列漏洞披露
10-16
自2016年的The DAO事件以来,智能合约已成为安全问题的热点,其中包括了诸如BEC、BAI、EDU等多个案例,最近EOS的漏洞也展示了其可能对矿工节点构成的危害。清华大学和360企业安全联合研究中心的ChainTrust团队对此...
KAN:KAN Token智能合约
05-14
7. **智能合约升级**: 考虑到未来可能出现的需求变更或修复,KAN Token可能采用可升级的智能合约设计,例如使用代理合约来间接调用实际的合约代码,以便在未来更新合约而不改变其地址。 8. **去中心化治理**: 部分...
教育行业edu漏洞挖掘思路小结
告白的博客
12-05 1万+
0x00 *法律法规的必要科普 *声明:本文章仅仅作为内容交流,不作为任何其他用途,请勿非法利用传播,均与本人无关。 漏洞挖掘要素:合法授权,合法测试授权范围内,按照甲方要求测试内,挖掘点到为止… 话不多说,先上图: 0x01 漏洞挖掘难易的介绍 1.漏洞的挖掘现在大致分为三种类型,从易到难分别是: 参考 教育行业edu: https://src.sjtu.edu.cn/ cnvd平台: https://www.cnvd.org.cn/ 补天/漏洞盒子等项目:https://www.butia
edusrc漏洞笔记(逻辑篇)
qq_51542789的博客
09-03 1996
由于文章是实战结束后才想起来写的,部分漏洞被修复,可能文章内容有些欠缺,各位读者请见谅。 全文纯手打,有错误的地方还请各位师傅指出来我及时改正~
我是如何批量挖edu高危漏洞
最新发布
韩束一叶子
05-25 32
希望这篇文章在可以帮助你解开一些对于漏洞挖掘的谜团。在学习和研究漏洞挖掘的过程中遇到困难并感到不知所措是很正常的。不过学习的过程就是这样,只有不断的去尝试才会进步。祝你在漏洞挖掘的路上的越来越远。《网络安全/黑客技术学习资源包》全套学习资料免费分享,需要有扫码领取哦!
一次简单快速的edu渗透测试
weixin_49794194的博客
08-23 1246
一次简单快捷的edu渗透测试或许还测试了一下查询功能也是存在注入点的,edu点到为止,本人很少写文章,大家谅解一下,本次渗透主要是数据库过滤不严导致的,并且拥有任意文件上传可拿到webshell,并且权限较为高级,在学生查询还有日期查询的地方拥有sql注入点,目前已提交edu漏洞平台。响应包一模一样判断没有,password我们拿去fuzz 测试一下。响应差距过大,我们重新放到包里测试一下,存在永真sql 注入。首先找到一个网络管理系统的用户登录。burp 抓包测试一下userid。
edusrc某大学证书的一次漏洞挖掘
bytesys的博客
10-10 1884
edusrc某大学证书的一次漏洞挖掘
记录小白第一次EDUsrc:任意密码漏洞
2301_80115097的博客
11-22 472
这里只测了四位数,还是在验证没失效,其实从000000-999999 爆过去肯定就能过了【或者找个验证码字典,不过我觉得它肯定是纯数字】这里肯定是有逻辑漏洞危害的,因为密码找回我就爆破成功了。只要logincode带着一个验证码md5加密,后面所有的登陆接口所有操作都可以无视验证码了—>这里的验证码功能等于没有,而且也没有ip访问限制,撞库就得死。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。2.【后面测试的找回密码第一个接口是验证手机号和学号!
LooksRare Token(LOOKS)源代码NFT智能合约crypto货币solidity
01-10
《LooksRare Token(LOOKS)源代码解析:深入理解NFT智能合约与以太坊生态》 LooksRare Token(LOOKS)是加密货币领域中一个备受关注的项目,其源代码公开透明,允许开发者和社区成员深入研究其背后的运作机制。在...
selfkey-token:众筹智能合约
05-01
发展智能合约正在0.4.19中实现。先决条件NodeJS,版本9+(我使用来管理Node版本brew install nvm 。) ,这是复仇发展的全面框架。 npm install -g truffle truffle-这应该安装Truffle v4.0.6或更高版本。 检查...
pigtoken智能合约源码
05-17
PIG是Binance Smart Chain上的去中心化通缩通证。而且100%去中心化;自动收益率养殖,没有复杂的资产配对流动性和不固定损失的风险。PIG是一种高收益的无摩擦农业代币。每笔交易有5%的税:3%锁定在流动资金中;...
国内SRC漏洞挖掘技巧与经验分享
01-29
SRC经验文档
我的第一次edusrc漏洞挖掘 (三连挖)
M1n9K1n9的博客
01-26 8319
弱口令未授权访问任意文件上传文章内提及的漏洞均已修复!白帽子在挖掘、提交相关漏洞的过程中,应严格遵守中华人民共和国相关法律法规。
记一次edusrc的漏洞挖掘
Cobra的博客
03-01 5376
在fofa上闲逛的时候发现这个系统,其实之前也碰到过这个系统,当时可能觉得没什么漏洞点就没有管,正好闲着没事又碰到了这个系统,然后就拿过来简单的测试了一下! 二、漏洞挖掘 1、信息收集 由于我是在fofa上发现的这个系统,所以也谈不上什么信息收集,我就直接贴了fofa搜索语法 app="校园地图服务系统" 2、漏洞挖掘 (1)主页就是一个简单的地图界面 (2)使用dirsearch浅扫一下目录吧,结果还真扫出点东西 (3)/actuator/env这不是spring...
自动化批量挖漏洞(edu)
热门推荐
m0_46736332的博客
10-03 1万+
自动化批量挖漏洞 原理是将目标资产让爬虫工具爬取,把数据通过burp发送给xray进行漏洞扫描。 本文使用到的工具 Fofa采集工具,文章用edu举例,大家可以根据自己的目标进行选择。 Rad,浏览器爬取工具,github地址: https://github.com/chaitin/rad Chrome浏览器, Rad默认支持浏览器 Burp和Xray就不赘述了 步骤一: 由于举例子,就用fofa采集工具去批量采集edu资产来做演示,有fofa会员更好,资产相对多一些。 因为要使用Rad爬虫,
SRC-edu 信息泄露快速刷分上分拓扑思路
qq_29437513的博客
04-21 6838
最近和很多群里大佬一块挖edu,企业,学到了很多东西,,单刷信息泄露刷到了月榜前10,
EduCoin智能合约transferFrom任意转账漏洞
Fly_鹏程万里
07-15 1703
先来看影响情况更多详情可以到这里查看可以看到今日(2018,5,24)发生了三比大量转账的记录,这些都是这个漏洞所造成的,其中有个比较搞笑的事情:看第1、2笔红框过的交易,攻击者0x4205....从0xeee28...用户里窃取了660459561个token。然而,没过几分钟攻击者0x4205窃取来的token全部都被0xc713用户给转了。......这说明什么?攻击者可以从任意用户中盗币...
记一次EDU高校弱口令+POST注入+水平越权组合拳挖掘
Adminxe的博客
05-05 2821
0X00. 前言 隔壁的表哥一直吵着说,想让我帮我测试一下他们学校的XX管理系统和OA系统有没有漏洞,那么也不能推辞,就帮忙看看吧(说实话,近期肺炎闹得太热闹,在村里也不能出去玩,出家门都不可以,于是XE就过来水文章了)。 当然我这个弟弟( Adminxe )也是挖过一个月edusrc的,并且取得了前30的名次,证书拿了20多张,确实感觉没什么意思,发个说说还被喷娱乐圈,难受呀! 还是好好水...
编写token合约的困难
06-12
编写一个安全可靠的Token合约并不是一件简单的事情,这需要开发者具备扎实的智能合约编程知识和经验。以下是一些可能会遇到的困难: 1. 防止安全漏洞:编写Token合约时,需要考虑各种攻击方法,如重入攻击、溢出...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值