ERC20智能合约评估

常见漏洞: https://github.com/slowmist/Knowledge-Base/blob/master/solidity-security-comprehensive-list-of-known-attack-vectors-and-common-anti-patterns-chinese.md

ERC20标准接口

//代币名字
function name() constant returns (string name) 

//代币简称
function symbol() constant returns (string symbol)

//支持几位小数点后几位, balanceOf返回的值除以此值才是真正的余额
function decimals() constant returns (uint8 decimals)

//发行代币的总量
function totalSupply() constant returns (uint256 totalSupply)

//输入地址，可以获取该地址代币的余额。
function balanceOf(address _owner) constant returns (uint256 balance)

//调用transfer函数将自己的token转账给_to地址，_value为转账个数
function transfer(address _to, uint256 _value) returns (bool success)


//--------------------------------------------
//批准_spender账户从自己的账户转移_value个token。可以分多次转移。
function approve(address _spender, uint256 _value) returns (bool success)

//与approve搭配使用，approve批准之后，调用transferFrom函数来转移token。
function transferFrom(address _from, address _to, uint256 _value) returns (bool success)

//返回_spender还能提取token的个数。
function allowance(address _owner, address _spender) constant returns (uint256 remaining)

标准接口代码实现常见漏洞

可以参考 https://www.jianshu.com/p/2705e5c53ec9

transferFrom

• 没有校验 allowed[_from][msg.sender] > _value, 导致可以转账_from 中所有的币, 如: https://cn.etherscan.com/address/0xa0872ee815b8dd0f6937386fd77134720d953581#code
• 没有使用 SafeMath 库, 直接使用 *(乘号) , /(除号) , 导致整数溢出. 如 https://cn.etherscan.com/address/0xc5d105e63711398af9bbff092d4b6769c82f793d#code