游戏合约Gorgona存在后门 owner可卷走所有资金
据成都链安科技消息,近期新发布的旁氏资金盘游戏gorgona(官网:gorgona.io,合约地址:0x4A5Fc826441A16B86aA850B3DDC4b1Bc02f21b6C)存在安全隐患,参与 Gorgona游戏用户需提高警惕。
游戏规则为用户每投入一笔eth,即可每天获得3%投资额回报,其官网声称100%安全且owner无法影响其运行,但我们分析发现,其中却存在一个owner权限可利用后门:owner可先调用setDatePayout函数构造特殊的investors[addr].date,造成溢出绕过逻辑判断并调用selfdestruct卷走合约内所有eth。该合约9月8日上线,截止今天仍然有地址向其中打入eth参与游戏。
成都链安科技建议所有用户停止参与该游戏,避免造成不必要的资金损失;同时呼吁游戏项目方在项目上链前进行完善的测试及代码安全审计,必要时可借助第三方专业审计团队的力量防患于未然。
打赏