又雙叒叕有智能合約曝出漏洞了。

據(jù)慢霧區(qū)最新消息，EDU 智能合約出現(xiàn)重大漏洞，可轉(zhuǎn)走任意賬戶的 EDU Token。

目前已經(jīng)發(fā)現(xiàn)有黑客的大量洗劫行為，攻擊者不需要私鑰即可轉(zhuǎn)走你賬戶里所有的 EDU，并且由于合約沒有 Pause 設(shè)計(jì)，導(dǎo)致無法止損。

據(jù)慢霧區(qū)分析，在 transferFrom 函數(shù)中，未校驗(yàn) allowed[_from][msg.sender] >= _value 并且函數(shù)內(nèi) allowed[_from][msg.sender] -= _value; 沒有使用 SafeMath，導(dǎo)致無法拋出異常并回滾交易。

悲慘的是，由于合約沒有 Pause 設(shè)計(jì)，導(dǎo)致無法止損，目前只能耐心等待官方公告。

鏈接：EduCoinToken (EDU) ERC20 Token Tracker

補(bǔ)充修復(fù)方法： 在 require(balances[_from] >= _value); 下一行增加 require(allowed[_from][msg.sender] >= _value); 或者引入 SafeMath，在合約中增加 using SafeMath for uint256; 同時(shí)修改為 allowed[_from][msg.sender] = allowed[_from][msg.sender].sub(_value);

雷鋒網(wǎng) VIA 慢霧區(qū)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。