🔑 100배 수익 경험자의 노하우가 담긴 치트키 공개 🔑
- 네이버, 카카오 임직원들이 듣고 있는 비트코인 강의
- 아무도 알려주지 않은 비트코인, 이더리움의 리스크
- 블록체인 전문가들도 놓치기 쉬운 비트코인, 이더리움의 핵심 가치
- 천배 수익이 가능한 디파이(DeFi), 코인 생태계 지도
- 토큰 제작, 1억 연봉의 블록체인 개발자로 거듭나자!
안전하지 않은 호출 취약점
TokenWhale 계약의 ApproveAndCallcode 함수에서 발생하는 취약점.
이 취약점은 임의의 데이터와 함께 임의의 호출이 실행될 수 있게 해서 잠재적인 보안 위험과 의도치 않은 결과를 초래할 수 있음
이 함수는 _spender 주소로부터 받은 _extraData에 대한 유효성 검사나 호가인을 수행하지 않고 저수준 호출(_spender.call(_extraData)를
사용하여 코드를 실행함.
이로 인해 예상치 못한 동작, 재진입공격 또는 무단작업이 발생할 수 있음
이 연습은 입력 및 반환값이 확인되지 않는 계약으로의 저수준 호출에 관한 것임,
호출 데이터가 조작 가능한 경우 임의의 함수 실행을 일으키는것이 쉬움.
테스트 소스
https://github.com/SunWeb3Sec/DeFiVulnLabs/blob/main/src/test/UnsafeCall.sol
코드 취약성 부분.
테스트
참고문서
https://web3sec.notion.site/Unchecked-external-call-call-injection-0bca4e1b8b8e428b98edf748ba943368
댓글