网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

此外，成都链安技术团队对在Github上开源的其他项目方代码进行检查，发现还有其他项目方存在此安全问题：

如下为有问题的合约地址：

TF3YXXXXXXXXXXXXXXXXXXXXXXXWt3hx

TKHNXXXXXXXXXXXXXXXXXXXXXXXAEzx5

TK8NXXXXXXXXXXXXXXXXXXXXXXXZkQy

TUvUXXXXXXXXXXXXXXXXXXXXXXXxLETV

TG17XXXXXXXXXXXXXXXXXXXXXXXkQ9i

因此Beosin成都链安呼吁广大项目方提高警惕予以重视，检查自己的合约是否存在上述安全漏洞，并及时进行更新。

发生原因：

据Beosin成都链安技术团队分析，上述问题的发生存在两个方面的原因：

1）开发者对波场代币的使用机制研究不足，可能套用了以太坊的代币使用方法；

2）攻击者在迁移其它公链上存在的攻击方式，如EOS已经存在的假币攻击方式。

修复意见：

对此，Beosin成都链安技术团队建议：项目方在收取代币时应同时判断msg.tokenvalue和msg.tokenid是否符合预期。并给出该漏洞代码修复方式，如下：

Invest函数增加代码：

require(msg.tokenid==1002000)；

require(msg.tokenvalue >= minimum)；

 minimum是最小投资额

同时，Beosin成都链安提示：黑客团队未来可能将攻击重点转向波场，波场公链的DApp市场高度繁荣但一直未曾遭到过eos公链级别的高强度攻击，攻击者目前主要是将其他公链上已成熟的攻击方式迁移到波场并进行大范围攻击测试，寻找安全防护较为薄弱的合约，此阶段后，攻击者可能更进一步深度挖掘波场本身可能被利用的机制，进行更高强度和威胁的攻击。

并且Beosin成都链安也建议各大项目方加强合约的安全防护级别和安全运维强度，尽量防范未然，避免不必要的损失，必要时可联系第三方专业审计团队，在上链前进行完善的代码安全审计，共同维护公链安全生态。提示各大项目方加强合约的安全防护级别和安全运维强度，尽量防范未然，避免不必要的损失，必要时可联系第三方专业审计团队，在上链前进行完善的代码安全审计，共同维护公链安全生态。