优惠论坛

标题: 慢雾:LDO代币合约存在潜在的「假充值」风险(转) [打印本页]
作者: caoch    时间: 2023-9-11 00:04
标题: 慢雾:LDO代币合约存在潜在的「假充值」风险(转)
9 月 10 日,慢雾 MistTrack 在社交媒体上发文表示,攻击者利用 LDO 代币合约问题,对交易所进行「假充值」攻击。LDO 的 Token 合约在处理转账操作时,如果转账数量超过用户实际持有的数量,该操作并不会触发通常的交易回滚。相反,它只是返回「false」作为结果,而不表示失败,LDO 代币合约存在潜在的「假充值」风险。; g; i! n& _4 W8 q6 r
- n# G" }1 y2 o3 V
由于上述特性,存在一种潜在的「假充值」风险。恶意攻击者可能会尝试利用这一特性进行欺诈行为。
# c( g, H+ ~3 g, F3 e3 A
6 Q1 u* y9 T3 U( {6 R# j/ k慢雾建议如下:
* Z0 g# U) L( ~* i0 A1. 在处理 token 到账的逻辑时,不仅仅依赖于交易的成功或失败,还需要根据 token 合约的实际返回值进行判断。
( J: K, X% w! e$ E! S2. 请注意,市场上存在许多非 ERC20 标准的 Token 合约。在接入新的 token 之前,务必对其合约代码进行深入的理解和分析,确保实现正确的入账逻辑。3 G! U$ o$ i9 ?2 Y. r( x- f0 R
3. 建议定期进行代码审计和安全检查,确保系统的健壮性和安全性。
0 Z8 C8 |4 M$ E8 w0 {& Z4 c, U' S. D5 [: z2 ~8 C( `* v
Token 合约的实现和行为可能因项目而异。为了确保资金的安全和交易的准确性,强烈建议在接入任何新的 Token 之前,深入理解其合约逻辑并进行充分的测试。
作者: 爬格子的瘦书生    时间: 2023-9-11 03:26
还有假充值这么一说第一次听过
作者: 22301    时间: 2023-9-11 09:40
风险是需要去控制住才行啦。
作者: 韩少    时间: 2023-9-11 16:40
果然还是感觉有这个风险的
作者: rainwang    时间: 2023-9-11 21:30
运行了过程中,漏洞才会被发现的啊
作者: 赚钱小样    时间: 2023-9-12 14:14
那当然是有一定的风险的了
作者: 爱美的女人    时间: 2023-9-12 20:18
假充值确实也是要多注意点
作者: yubuluowang    时间: 2023-9-15 12:00
是要避免这种假充值的事件了



欢迎光临 优惠论坛 (https://tcelue.co/) Powered by Discuz! X3.1