EDU 智能合約出現重大漏洞，可轉走任意賬戶的 EDU Token

又雙叒叕有智能合約曝出漏洞了。

據慢霧區最新消息，EDU 智能合約出現重大漏洞，可轉走任意賬戶的 EDU Token。

目前已經發現有黑客的大量洗劫行為，攻擊者不需要私鑰即可轉走你賬戶裡所有的 EDU，并且由于合約沒有 Pause 設計，導緻無法止損。

據慢霧區分析，在 transferFrom 函數中，未校驗 allowed[_from][msg.sender] >= _value 并且函數内 allowed[_from][msg.sender] -= _value; 沒有使用 SafeMath，導緻無法抛出異常并復原交易。

悲慘的是，由于合約沒有 Pause 設計，導緻無法止損，目前隻能耐心等待官方公告。

連結：EduCoinToken (EDU) ERC20 Token Tracker

補充修複方法： 在 require(balances[_from] >= _value); 下一行增加 require(allowed[_from][msg.sender] >= _value); 或者引入 SafeMath，在合約中增加 using SafeMath for uint256; 同時修改為 allowed[_from][msg.sender] = allowed[_from][msg.sender].sub(_value);

原文釋出時間為：2018-05-24

本文作者：郭佳

本文來自雲栖社群合作夥伴“

雷鋒網

”，了解相關資訊可以關注“

”。