安比(SECBIT)实验室在最近一次智能合约漏洞扫描中,发现 AMORCOIN (AMR) token 合约(地址:0x14Fb4c93Fe461EC3F9F22B61aB7030F258867969)中存在权限漏洞(CVE-2018-14000 getToken-anyone),任何人都可以随意增加其账户上的 Token 余额。AMORCOIN (AMR) 官网显示,该项目尚处于公募阶段,当前其兑换比例为 1857 AMR/ETH,并计划上多家交易所,etherscan 显示部分币已转入投资者地址,这是一个超级无限量铸币的漏洞风险。
安比(SECBIT)实验室已于尝试邮件联系项目方进行提醒,但项目方尚无反馈。安比(SECBIT)实验室建议AMR项目方应立即废弃该合约,并重新发布修复后的合约。