本年度以太坊代币漏洞整合

通过 mintToken() 函数来随意增发 Token

zf.png

现在很多ERC20合约都提供增发接口，主要作用就是向任意地址增发token。该接口只有合约创建者可以调用。理论上该接口只能在代币实际发行总量小于理论发行总量的时候调用。但是却没有做相应的限制（大于发行总量以后依然可以调用此方法增发），可能导致发行实际总量大于理论发行总量，从而削弱用户手中代币价值，过量发行甚至会导致代币价值归零。但是这种增发极度损耗项目方的信用。如果项目方是个干实事的人，应该是不会去这么践踏自己的信用的。我们投资这个项目，看中的不是这个代币，而是投资的这个团队。如果团队不是做实事的，那么增发与否也就没什么意义了。

setPrices()、buy()和sell()函数操纵市场价格

以上方法不是ERC20代币所必须实现的方法。实现以上方法可以在不经过交易所的情况下实现代币交易。就是合约创建者设置一个价格（对标ETH）。拥有ERC20代币的人，可以在相应合约中按照该价格买入或卖出。如果这个合约不上交易所，那么你爱怎么玩儿就怎么玩儿，你标价1000ETH一个都没事。但是如果代币上了交易所，代币价值就应该通过市场来反馈，而不是项目方掌握着定价权。实现上面接口的人的目的不太单纯啊。

数字溢出漏洞

这个漏洞可以参考我前面写的智能合约漏洞分析