🔑 코인 투자 추천 링크 🔑
안전하지 않은 호출 취약점
TokenWhale 계약의 ApproveAndCallcode 함수에서 발생하는 취약점.
이 취약점은 임의의 데이터와 함께 임의의 호출이 실행될 수 있게 해서 잠재적인 보안 위험과 의도치 않은 결과를 초래할 수 있음
이 함수는 _spender 주소로부터 받은 _extraData에 대한 유효성 검사나 호가인을 수행하지 않고 저수준 호출(_spender.call(_extraData)를
사용하여 코드를 실행함.
이로 인해 예상치 못한 동작, 재진입공격 또는 무단작업이 발생할 수 있음
이 연습은 입력 및 반환값이 확인되지 않는 계약으로의 저수준 호출에 관한 것임,
호출 데이터가 조작 가능한 경우 임의의 함수 실행을 일으키는것이 쉬움.
테스트 소스
https://github.com/SunWeb3Sec/DeFiVulnLabs/blob/main/src/test/UnsafeCall.sol
코드 취약성 부분.
테스트
참고문서
https://web3sec.notion.site/Unchecked-external-call-call-injection-0bca4e1b8b8e428b98edf748ba943368
댓글