智能合约红色预警：四个Token惊爆逻辑漏洞，归零风险或源于代码复制

在继智能合约漏洞溢出问题引发了一系列损失过后，5月24号，有安全团队再次爆出漏洞溢出的问题(CVE-2018–11397, CVE-2018–11398)，账户余额可以被任何人任意转出。

根据SECBIT实验室实验室风险预警平台显示，对该类问题进行监控，果不其然，发现了这个问题，更可怕的是，SECBIT监控系统显示，已经部署的四份合约存在相同的问题，并且四份合约的实现几乎一模一样。
以下为问题合约的地址通过sha3(address)计算出的哈希结果：

这个问题本质上是一个逻辑上的漏洞，进而引发了溢出漏洞。但可以通过规避溢出漏洞的方式来规避该类问题：

• 转账之前对allowed进行校验。

• 使用safeMath等安全的方式进行运算。

SECBIT实验室强烈呼吁项目团队在开发过程中对于开源的代码的使用一定要谨慎，千万不要随意复制，同时在合约部署之前，一定要寻求专业的团队进行审计，防患于未然。

以上数据均由SECBIT实验室提供。合作交流请联系 info@secbit.io。

SECBIT实验室打造专业的智能合约风险监控预警平台，构建全方位的漏洞评价体系。快速预警线上合约漏洞，并对线上合约漏洞根据影响结果划分为四类：红色预警，黄色预警，黑色预警和白色预警。其中红色预警为token被盗的漏洞，白色黄色预警为由于逻辑漏洞引发的事故，黑色预警为导致整个通证经济坍塌的致命性事故，白色预警为常规预警。