点击图片查看原图
据 PeckShield 态势感知平台数据显示,近日一个名为 FairWin 的资金盘项目尤为引人瞩目,其每日 Gas 利用率占比达到以太坊网络可承载 Gas 总量的近半数。PeckShield 安全人员深入分析发现,FairWin 智能合约存在一个致命缺陷,用户可以制造虚假投注捞取奖池剩余资金。具体而言:FairWin 智能合约存在一个 remedy() 接口,倘若合约 Owner 没有通过 closeAct() 关闭 actStu 时,任何用户都可以通过 remedy() 接口修改投注数据,进而实现在 0 投入的情况下,伪造大量资金投入,并通过 userWithDraw() 将合约余额奖金取出。截至目前尚没有已知攻击发生,且 FairWin 合约 Owner 已经将 actStu 关闭,潜在威胁暂时得以排除,但以太坊网络上尚存在类 FairWin 仿盘,均可能存在此类漏洞威胁。