Abstract

2020年6月16日,BancorV2上线以太坊主网。
2020年6月18日,Bancor Network团队发现了其BancorV2智能合约的安全漏洞。

漏洞导致攻击者可盗取Bancor合约用户的资产。
本文将介绍一下攻击的细节和这次安全事件的始末。

漏洞原理

本次安全事件一共涉及三个有漏洞的智能合约。

  • 0x8dfeb86c7c962577ded19ab2050ac78654fea9f7
  • 0x5f58058C0eC971492166763c8C22632B583F667f
  • 0x923cab01e6a4639664aa64b76396eec0ea7d3a5f

三个合约内容相似,都实现了 TokenHandler contract
该合约关键functions如下:
可见实现了三个关键函数

safeApprove
safeTransfer
safeTransferFrom

非预期的是,三个函数的Access Control全都是public,
意味着任何人可以调用该函数来进行转账操作。

合约安全(2):Bancor Network权限配置错误漏洞相关推荐

  1. 确认过眼神,地址不是对的人—— 权限验证错误 | 漏洞分析连载之五

    引子:横看成岭侧成峰,远近高低各不同.不识庐山真面目,只缘身在此山中. -- <题西林壁>苏轼 上回说到 : 底层函数调用险象环生, 外部功能慎用防患未然, 真假难辨黑客诡计多端, 完善规 ...

  2. 解决Jenkins权限配置错误,导致登录时出现没有Overall/read权限

    问题 由于初次接触jenkins,于是在搭建好jenkins以后,想要对用户进行管理,于是乎开始在系统管理->configure Global Security里设置用户的权限. 在启用安全-& ...

  3. 【AWS 安全系列】Amazon S3 配置错误(下)

    [AWS 安全系列]Amazon S3 配置错误(下) [AWS 安全系列]Amazon S3 配置错误(下) 1. 怎样发现存储桶? a. 使用 aws cli 工具 b. 查看网站的HTTP 响应 ...

  4. svn数据仓库配置,权限配置

    svn服务的开启有两种方式, ·        自带的svnserve服务(访问地址类似于svn://192.168.80.18/repos/) ·        与Apache配合使用  (访问地址 ...

  5. hadoop-HA集群搭建,启动DataNode,检测启动状态,执行HDFS命令,启动YARN,HDFS权限配置,C++客户端编程,常见错误

    本篇博文为整理网络上Hadoop-HA搭建后出来的博客,参考网址为:http://blog.chinaunix.net/uid-196700-id-5751309.html 3. 部署 3.1. 机器 ...

  6. 鸟哥的Linux私房菜(基础篇)- 第十四章、Linux 账号管理与 ACL 权限配置

    第十四章.Linux账号管理与 ACL 权限配置 最近升级日期:2009/09/09 要登陆 Linux 系统一定要有账号与口令才行,否则怎么登陆,您说是吧?不过,不同的使用者应该要拥有不同的权限才行 ...

  7. 第十四章、Linux 账号管理与 ACL 权限配置

    要登陆 Linux 系统一定要有账号与口令才行,否则怎么登陆,您说是吧?不过, 不同的使用者应该要拥有不同的权限才行吧?我们还可以透过 user/group 的特殊权限配置, 来规范出不同的群组开发项 ...

  8. oracle 配置数据库错误,Oracle数据库配置错误信息解决方法

    Oracle数据库配置错误信息 Oralce数据库的错误信息经常会出现,我们看见的都是错误的代码,至于错误原因究竟是什么还一时半会难以解答,所以就把一些常见的错误整理了一下,来看看也许对你有帮助的. ...

  9. ubuntu sudoers配置错误

    ubuntu16 sudoers配置错误,普通用户无法使用sudo了,且root帐户也没启动. 重启,按住esc,选择恢复模式,选择root模式 mount -o remount rw / 修改文件至 ...

最新文章

  1. 如何设计一门语言(七)——闭包、lambda和interface
  2. 听研二师兄师姐报告收获
  3. JSON数据格式必知
  4. android之SQLite数据库insert操作
  5. CodeForces - 1325D Ehab the Xorcist(构造+异或)
  6. 项目中使用粘性布局不起作用_项目中的 Git 使用规范
  7. Sql Server 在数据库中所有表所有栏位 找出匹配某个值的脚本(转)
  8. SpringCloudGateway起步
  9. 我的世界服务器按键显示mode,【服务器相关】【求助!】关于服务器中使用gamemode等命令错误。...
  10. python给内置函数重命名_python – 以Pandas Groupby函数重命名列名
  11. MSSQL2005:“超时时间已到。在操作完成之前超时时间已过或服务器未响应”
  12. RegisterWaitForSingleObject的使用
  13. 什么时候建立分区的时候需要建立EFI分区
  14. CCS Product ****** is not currently installed and no compatible version is available 报错调试
  15. UML用例图分析——铁路售票系统
  16. 图书馆占座系统(六)
  17. 为啥面试需要Aggressive?
  18. jQuery常用插件
  19. ORACLE数据库空间满了如何进行空间扩展
  20. [labview]做一个简单实用可扩展功能的高速串口发送(接收)调试器

热门文章

  1. WIFI 的 传输信道 与标准 WIFI的频道 传输能力
  2. coldfusion_ColdFusion中的一周:5月7日至13日:社区和开源
  3. Qt在Win10下调用系统的软键盘
  4. java根据excel模板导出pdf
  5. 英飞凌AURIX Development Studio安装和使用,TASKING软件license推荐
  6. 坐标系与国内常见坐标转换
  7. Qt/C++编写安防视频监控系统37-onvif预置位
  8. [UE4] 使用 GUI 框架“Dear ImGui” 示例:ImguiLogWindow
  9. linux下虚拟lcd屏幕总线错误,mmap - 为什么BBB的LCD寄存器上的mmap()会导致总线错误? - 堆栈内存溢出...
  10. 腾讯云发布多款大数据应用产品,助力企业全面释放数据价值