MorphToken 合约漏洞分析

最新推荐文章于 2026-06-25 19:10:14 发布
原创 最新推荐文章于 2026-06-25 19:10:14 发布 · 1.5k 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#以太坊 #区块链 #安全
本文揭示了低版本Solidity合约中的安全隐患,包括公共构造函数导致的权限滥用、`transferFrom`的漏洞和黑名单绕过。讲解了如何通过`owned()`函数获取合约所有权和潜在的假充值问题。

合约代码地址:https://etherscan.io/address/0x2ef27bf41236bd859a95209e17a43fbd26851f92#code

1.任意账户获得合约所有权
在低版本的 Solidity 中,构造函数是和合约名同名的函数,这样会导致如果本意是写一个构造函数,但是因为大小写等笔误导致这个构造函数跟合约名不一致,那么如果这个构造函数是
public 的,外部账户就都可以对其进行调用。 所以任意账户可以通过调用owned()函数将自己设置为owner
,再后续调用函数中绕过onlyOwner的检测。
2.transferFrom 中没有require/assert。
导致即使发送失败,返回的交易Status依然为success。或者在call中绕过未检测返回值的调用,使本该失败的交易成功。出现假充值漏洞。
3.在transfer中校验黑名单但在transferFrom
可以通过approve后使用transferFrom绕过黑名单检测发送代币

放牛日记
关注
以太坊"MorphToken事件"看智能合约构造函数大小写编码错误漏洞
Fly_鹏程万里
08-24 799
一、漏洞概述 以太坊智能合约的含义就是一组代码(函数)和数据(合约的状态),它们位于以太坊区块链的一个特定地址上。智能合约一般使用solidity语言编写。 Morpheus Network与世界上一些大型航运、海关和银行公司协商,通过利用区块链的智能合约技术建立一个全面服务的、全球性的、自动化的、开放的供应链平台和一个集成的加密货币支付系统 ,发布基于以太坊的 MorphToken。 20...
继承变量覆盖及构造函数失配,竟然会导致这些漏洞
区块链大本营
10-11 4053
安全区块链领域举足轻重的话题。本期咱们聊聊,由于名称书写、声明语句、继承中变量覆盖等细节问题引起的巨大安全隐患。「区块链大本营」携手「成都链安科技」团队...
黄仁勋即中本聪:AI Token,BTC 2.0算力新秩序
人工智能AI技术
06-19 268
前两天刷虎嗅,看到一篇文章标题:《黄仁勋即中本聪》。这老黄是偷偷挖了几年矿,还是中本聪去韩国整容了?22年AI经验告诉我,凡是标题带"即"字的,不是天才就是骗子。比如"我即吴彦祖",显然属于后者。但看完文章我发现,这标题虽然夸张,逻辑居然有点意思。我斗胆下个定义:AI的算力,即Token,它其实是**BTC 2.0**。
微算法科技(NASDAQ :MLGO)研发PQBFL协议:后量子时代联邦学习的“安全盾”与“效率锚”
MicroTech2025的博客
06-23 202
未来,PQBFL协议将沿三方向深化发展:其一,算法升级,随着NIST后量子密码标准迭代,集成更高效的加密方案(如基于格的签名算法),提升处理速度与资源利用率;其三,生态拓展,通过开源社区建设吸引开发者参与,推动协议在更多行业落地,同时与监管机构合作,将声誉机制与合规要求对接,构建可信的联邦学习市场。应用场景聚焦对数据隐私与安全性要求严苛的领域:在医疗领域,多家医院可通过PQBFL协议联合训练疾病预测模型,患者数据无需离开本地,仅共享加密后的模型参数,既保护隐私又提升诊断准确性;
新型iPhone BootROM漏洞永久性破坏信任链,A12/A13芯片无法修复
FreeBuf_的博客
06-23 401
苹果设备曝出不可修复的BootROM漏洞usbliter8,影响A12/A13/S4/S5芯片。该漏洞利用Synopsys DWC2 USB控制器硬件缺陷与固件配置漏洞,通过DMA缓冲区下溢实现任意代码执行。漏洞允许完全控制启动链,支持无签名启动iBoot等特权操作。由于存在于不可更改的BootROM中,唯一解决方案是升级至A14及以上设备。研究团队已公开PoC并完成漏洞披露流程。
2026年杭州本地生活GEO渠道优化策略:精准定位与流量增长秘籍
2601_96139146的博客
06-19 210
随着AI技术的不断发展,未来的SEO将更加智能化和个性化。AI智能体和GEO优化将成为主流,帮助企业实现精准获客和流量增长。企业应抓住这一机遇,提前布局,以应对未来的市场竞争。本文通过行业现状分析、痛点数据调研、传统SEO弊端、新型AI SEO技术原理、多维度数据对比、真实落地案例复盘和行业避坑指南,全面解析了2026年杭州本地生活GEO渠道优化策略。希望这些内容能够为企业提供有价值的参考,助力企业在激烈的市场竞争中脱颖而出。通过合理的SEO优化策略,企业可以有效提升品牌知名度和转化率。
ZFX山海证券:“比特币仓位引发波动关注”
2601_96179523的博客
06-18 158
Yahoo Finance转载TheStreet报道称,一位高净值投资者将约70%投资组合配置于比特币并作出乐观预测,引发市场对加密资产集中持仓的讨论,ZFX山海证券认为,高仓位策略放大收益机会的同时也放大净值波动。ZFX山海证券分析称,当单一资产占比过高时,投资组合对短期回撤的承受能力会成为核心问题。若风险资产整体降温,杠杆仓位也可能加速调整。接下来投资者应关注ETF净流入、链上持仓变化和宏观利率预期,在ZFX山海证券看来,比特币配置更适合作为风险预算内的分散工具,而非忽视波动的单一押注。
924后新工具
智能合约代码
06-20 324
准确理解这一新型宏观审慎工具的内涵与价值,需要从其官方定义、情景边界约束、运行机制设计及政策理论基础三个维度切入 —— 其 “三位一体” 的制度设计逻辑,核心是在 “防控系统性风险” 与 “避免政策干预过度” 之间寻找精准平衡,从根源上防范流动性支持工具自身可能引发的道德风险
利用 Data Fabric 构建数据运营体系
qq_31260077的博客
06-24 601
企业数据运营的终点不是“管住数据”,而是让数据能力持续创造业务价值
Uniswap V2 Core 和 Periphery 合约核心接口文档
以后会多把工作中总结的知识、问题处理思路和方法通过博客分享出来,欢迎大家关注和共同探讨!
06-25 188
源码基于 Uniswap V2 官方仓库文档结构:先架构总览,再逐合约展开,含完整函数签名、Events、关键参数说明及安全注意事项。
我的实盘交易策略-美股止盈量化策略
大模型大数据攻城狮的专栏
06-20 93
PcostPcost​:持仓成本价PcurrentPcurrent​:当前市场价格PhighPhigh​:激活后记录的最高价(高水位标记,High Water Mark)ractract​:激活阈值(如老仓5%、新仓4%)dlimitdlimit​:回撤触发阈值(如0.5%)rminrmin​:保底收益率阈值(如1%)
三十二.区块链网络(3)--启动节点
d3582077的专栏
06-24 166
接下来,我们来了解节点启动的过程。
MHMarkets迈汇:“比特币融资分歧继续升温”
2601_96179551的博客
06-24 244
文章称,Michael Saylor 呼吁比特币支持者聚焦更大的长期机会,但部分业内人士质疑永续优先股和高票息融资结构,在MHMarkets迈汇看来,争议核心并非比特币本身,而是杠杆积累资产时的资金成本和偿付压力。接下来,投资者仍需关注 Strategy 后续融资节奏、比特币价格表现以及偏好变化,MHMarkets迈汇预计,若资金成本维持高位,财库型加密资产策略会接受更严格的市场检验。当证券价格低于面值,继续发行的吸引力下降,也会使市场重新审视企业用资本市场工具扩充加密资产敞口的可持续性。
三十一.区块链网络(2)--winsock
d3582077的专栏
06-20 252
变相的达到全网传播的目的。tcp就按上面的固定的格式写,其中,AF_INET表示创建一个ipv4的套接字,SOCK_STREAM表示TCP流式,就是可靠的传输,先建立连接再通信,跟打电话打通一样,而UDP(SOCK_DGRAM),直接就是发送了。CNode是维护已连接上的节点,有着数量上的限制,而CAddress是存储已知的节点,不负责连接。上面就是因为代理的原因,所以这里会这么个判断,而如果是192.168这种地址,不管你用不用代理,都是直连,因为不可能你走一圈代理,然后又连到你的局域网,那是不可能的。
Web3 EVM 是什么?
Doublelv 的博客专栏。
06-22 350
EVM 是以太坊的“计算引擎”——它让区块链从一个只能转账的“账本”,进化成了一台全球共享、永不宕机、无需信任的分布式计算机,是整个 Web3 生态的基石。如果你想继续了解EVM 兼容链和非 EVM 链(如 Solana 的 SVM)的具体区别,或者想学习如何部署一个智能合约到 EVM 上,我可以为你进一步展开。
集团化企业多组织协同,2026哪款S2B2B系统支持跨组织调拨?
shushangyun_的博客
06-21 304
同时,微服务架构支持动态扩缩容,能够根据调拨业务量的波动自动调整系统资源,确保在业务高峰期的系统稳定性和处理性能,为跨组织调拨提供可靠的技术保障。在跨组织调拨场景中,各相关方能够通过系统实时查看库存动态、调拨进度和需求变化,实现信息的透明化和对称化,为调拨决策提供准确的数据支持,有效避免了因信息滞后导致的库存积压和缺货问题。此外,系统还支持调拨单据的电子签章和区块链存证,确保调拨记录的真实性和不可篡改性,为集团化企业的跨组织调拨提供了全面的安全保障。
Data Fabric 如何解决 AI 数据集建设问题
qq_31260077的博客
06-22 694
本文探讨了AI项目中数据集建设的关键挑战与DataFabric解决方案。指出当前AI项目瓶颈已从模型转向数据集质量,传统数据平台难以满足AI对语义一致性、质量评估、标签治理和可追溯性的要求。DataFabric通过构建数据理解网络,将分散数据资产转化为可治理、可演进的数据产品,形成包含语义映射、质量监控、标签管理和血缘追踪的AI数据集生产体系。该体系支持数据从发现到模型反馈的闭环优化,使AI数据集从项目制加工转向可持续生产,为AI规模化落地奠定基础。
区块链金融》全套课件PPT
m0_54748666的博客
06-19 212
获取 《区块链金融》全套课件PPT ::https://download.csdn.net/download/m0_54748666/92973500。第8章区块链+金融务平台.pptx。第10章区块链+跨境支付.pptx。第3章数据结构及相关技术.ppt。第9章区块链+数字货币.pptx。|第13章区块链+保险.pptx。第12章区块链+证券.pptx。第14章区块链+征信-pptx。第1章区块链概述.pptx。第4章数据存储.pptx。第5章共识机制.pptx。第7章概述.pptx。
Web 跨域安全实战(三):信任链传递攻击与 CORS 复合漏洞利用
最新发布
2401_85321170的博客
06-25 324
在前两阶段内容中,我们讲解了基础 Origin 反射漏洞、白名单字符串匹配绕过、Origin: null沙箱逃逸等单一 CORS 缺陷。成熟业务系统会针对独立 CORS 配置做基础加固,但安全防护的整体强度取决于体系内最薄弱的信任节点。 本阶段聚焦信任链传递攻击,核心讲解 CORS 与 XSS、TLS 协议缺陷、内网无鉴权接口组合形成的复合漏洞,拆解完整连环攻击链路、标准化 Payload 分层构造逻辑与实战常见底层协议陷阱,覆盖红队渗透、漏洞赏金项目中高频高阶利用手法
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值