注意!智能合约新式漏洞盘点
众所周知,区块链技术安全问题不容小觑,智能合约也已成区块链安全事件重灾之地。迄今为止,因智能合约攻击造成的损失高达20亿美金,其中最负“盛名”的众筹项目 TheDAO 所遭到的攻击竟造成价值逾5000万美元的损失。本文给整理了一些需要高度重视得新式漏洞,一起来看看吧。
介绍这些新式漏洞之前,需要给大家解释一个名词--通证(Token),可能链圈、币圈的大部分人对token都不陌生,熟悉的童鞋可以跳过。通证(Token)是区块链中定义价值的方式,用以标定金融或数字资产,其源代码实现方式也趋于标准化,从而使得通证之间的兑换和DAPP支持变得更加容易,包括钱包间的转账、交易所支持交易等。
新式漏洞如下:
高危漏洞1: 无限烧币
漏洞描述:只要用户A提供给用户B一个通证的额度,用户B就可以把用户A的通证余额全部烧光。
影响到的合约当前总市值:一千五百万美元
高危漏洞2: 无限铸币
漏洞描述:通过故意混淆函数名与构造函数名,发币人可以在合约中增发无限量的通证。造成持有者的通证大量贬值。
影响到的合约当前总市值:三百万美元
高危漏洞3: 转账即增发
漏洞描述:发币人转账能够通过整数溢出使得发币人自身的币达到无穷大。
影响到的合约当前总市值:一千六百万美元
中危漏洞1: 无主之币
漏洞描述:通过转移发币权,合约可以变成无主合约。用户的通证无法取出造成损失。
中危漏洞2: 卖币收益下溢
漏洞描述:用户卖币时由于合约出现的整数溢出问题,从合约中得到远远少于预期收益的ether。