网络安全公司：AMR合约高危漏洞系黑客利用多用户转账函数导致

一、漏洞概述

AMR 合约代币全称为 AMMBR 合约代币，是基于以太坊的智能合约代币，其中使用 了 ERC20 代币标准，于 2018 年 6 月 18 日开始发行，预计发行 2,000,000,000 枚 AMR 币。

2018 年 7 月 8 日，降维安全实验室爆出 AMR 代币存在高危漏洞，攻击者可随意增发 代币，目前该漏洞已被黑客利用。

2018 年 7 月 8 日，知道创宇 404 智能合约安全审计团队迅速跟进该漏洞，验证了漏洞 真实存在，复现并分析了该漏洞。

二、漏洞复现

通过 etherscan.io 网站查看 AMR 代币的交易记录，可以发现两笔异常交易。

三、漏洞原因

通过跟踪交易记录，发现黑客调用 multiTransfer 函数触发漏洞，该函数本身功能是用 于向多用户转账，在转账之前将会判断转出的总金额要小于余额;在整个项目[2]中使用了 SafeMath 函数簇做安全的运算，但是在累加每项转出金额时，却是直接使用 “+=”，并且 没有做溢出判断，最终由黑客精心传入的 tokens，导致totalTokensToTransfer 溢出，增发代币。

（注：本文由北京知道创宇信息技术有限公司发布，链得得经授权转载）