📢 대니월드 공식 홈페이지가 'TradingRoom'으로 변경되었습니다
모든 최신 시황과 교육 자료를 가장 빠르게 받는 방법!
지금 아래 버튼을 클릭해 이메일 구독을 완료해 주세요.
안전하지 않은 호출 취약점
TokenWhale 계약의 ApproveAndCallcode 함수에서 발생하는 취약점.
이 취약점은 임의의 데이터와 함께 임의의 호출이 실행될 수 있게 해서 잠재적인 보안 위험과 의도치 않은 결과를 초래할 수 있음
이 함수는 _spender 주소로부터 받은 _extraData에 대한 유효성 검사나 호가인을 수행하지 않고 저수준 호출(_spender.call(_extraData)를
사용하여 코드를 실행함.
이로 인해 예상치 못한 동작, 재진입공격 또는 무단작업이 발생할 수 있음
이 연습은 입력 및 반환값이 확인되지 않는 계약으로의 저수준 호출에 관한 것임,
호출 데이터가 조작 가능한 경우 임의의 함수 실행을 일으키는것이 쉬움.
테스트 소스
https://github.com/SunWeb3Sec/DeFiVulnLabs/blob/main/src/test/UnsafeCall.sol
코드 취약성 부분.
테스트
참고문서
https://web3sec.notion.site/Unchecked-external-call-call-injection-0bca4e1b8b8e428b98edf748ba943368
댓글