以太坊费尔温智能合约是否存在漏洞?详细的技术分析在这里。_币百科_转赚网

以太坊费尔温智能合约是否存在漏洞?详细的技术分析在这里。

转赚网 0 0

最近费尔温智能合约的漏洞问题引起了各方的关注。FAIRWIN作为近期以太坊链条上交易量最高的金盘模式的应用,在以太坊链条上仍然有大量类似的克隆盘。如果有隐藏的漏洞,会给公链带来很大的风。因此,成都链安的安全人员对FAIRWIN智能合约进行了深入分析,分析结果如下:

通过审计FAIRWIN合约代码,发现其合约中存在一个remedy()接口。如果合同所有者没有';t通过close()关闭接口,任何用户都可以调用该接口,通过该接口可以伪造投注数据,实现"无中生有",并且不动用任何资金就可以伪造充值记录,然后攻击者就可以享受分红了。,或者使用userretract()提取所有余额。

根据链上的记录,我们发现项目方在2019年7月28日(合同上线后第二天)通过closeAct()关闭了接口。通过成都联分析项目方的所有交易记录';Beosin-AML系统。我们进一步分析攻击者是否成功插入了下注数据。通过分析发现,该漏洞已被严重滥用。从十天前到现在,有账号尝试调用remedy()接口插入投注数据,但是这个操作已经关闭。,导致插入数据失败。可见插入量是几万ETH。

插入失败记录:

通过完全追溯,我们发现总共有503条成功插入的交易记录(500个地址),插入日期都在项目方关闭接口之前。据统计所有503个交易都是由地址0xcb104fa25a1a46040DBA9f554ff564ce325668b发起的。

据统计,共插入5093个ETH,其中冻结ETH4711个,未冻结ETH382个。并且攻击者已经通过插入投注记录中设置的500多个小号进行了提现操作。

通过进一步分析其合同部署,发现项目方在2019年7月27日,即项目方关闭actStu的前一天,刚刚部署了FAIRWIN合同,不足一天。在项目合同内,凭空出现了5000多个ETH。7月29日,以太坊浏览器显示合约开源。

相关内容

标签: 发现项目 关闭接口 插入

以太坊费尔温智能合约是否存在漏洞?详细的技术分析在这里。文档下载: PDF DOC TXT