关于 NEO 系 NEP-5 代币“存储区注入漏洞”的说明

安全审计公司 Red4Sec 近期在一些 NEP-5 的合约代码中发现了一种存储注入漏洞,Neo Global Development (NGD) 联合 Red4Sec 发布声明称此漏洞是一些项目的智能合约代码的漏洞,与 NEO 区块链底层无关。攻击者可以利用该漏洞对合约的存储区进行修改,目前已经有多个 NEP-5 代币受到此漏洞的影响,因此建议项目方通过 NEO 底层提供的合约升级接口来对受漏洞影响的智能合约进行升级。官方在检查了大量的合约代码后给出如下结论:

①有部分项目没有受此漏洞的影响,或在我们发现此问题前已经修复了漏洞,这些项目无需做任何操作;

②有部分项目可能受攻击模式影响,用户的资产是安全的,这些项目可视情况来选择是否进行合约升级;

③只有一个项目因为不开源同时也无法获得其源代码,无法检测其是否存在(其它)严重漏洞。