基于Tron的代币IseriCoin存在造币漏洞 已被攻击者利用

image.png

今日,DVP区块链安全监测系统TronEye检测到一起攻击事件:在2019-04-08 19:23:12至2019-04-09 12:21:30期间,在有多个攻击者针对一款基于Tron的代币(IseriCoin)发起了攻击,黑客利用合约漏洞凭空给自己账户增发了巨量的IseriCoin代币,该代币在kiwidex交易所上架,目前已经暂停交易。

经DVP安全团队分析,该事件是由于IseriCoin合约与已经被攻击过的TronCrush Token合约存在相同漏洞导致,所以攻击者使用了同样的攻击手法,只要攻击者向自己转账即可获得并增发与转账数额等额的代币。

对此建议各位项目方,在进行智能合约开发的时候应注意代码复用的风险,若一份有漏洞的代码在公链生态内被复用,在攻击发生时将影响诸多项目。建议在复用外部代码以及自行研发时需要进行必要的审计。

*文章为作者独立观点,不代表BSCEC立场

转载此文章须经作者同意,并请附上出处(未知网站)及本页链接。

白帽汇安全研究院原创2019-04-11 17:52:04 1163