处理 ERC20 转账容易忽略的问题(一)

  • Ashton
  • 更新于 2023-05-12 09:37
  • 阅读 1816

看起来很简单的ERC20转账,处理不好就有可能导致不可估量的损失

看起来很简单的 ERC20 转账,处理不好就有可能导致不可估量的损失 因为每天能用来写东西的时间比较有限,我准备分三个小文去讲,分别讲 转入、转出、记账 今天讲 ERC20 token 的转入处理

0x01 常见的转入写法

看下面的代码,你感觉会不会有问题?

 function deposit(address token, uint256 amount) external {
        //...
        address depositor = msg.sender;
        IERC20(token).safeTransferFrom(depositor, address(this), amount);
        emit Deposit(token, amount, depositor);
 }

这是我从曾经经手过的一个项目中截取的代码,忽略掉了对 token 和 amount 的参数校验。用户调用 deposit 函数把钱存入合约之后,合约触发 Deposit 事件,服务端程序会扫描 Deposit 事件落库,之后用户可以申请提款,提款金额和落库金额有关。

0x02 问题在哪里

正如你所想的那样,一切都是工作正常的,直到有一天,这个系统想要支持 PAXG,用户似乎可以提取比存入更多的 PAXG Token。问题出在哪里呢? 我们看看 PAXG 的转账代码实现:

    function _transfer(address _from, address _to, uint256 _value) internal returns (uint256) {
        uint256 _fee = getFeeFor(_value);
        uint256 _principle = _value.sub(_fee);
        balances[_from] = balances[_from].sub(_value);
        balances[_to] = balances[_to].add(_principle); // 重点看看这里的 _principle 和 参数 _value 有什么不同
        emit Transfer(_from, _to, _principle);
        emit Transfer(_from, feeRecipient, _fee);
        if (_fee > 0) {
            balances[feeRecipient] = balances[feeRecipient].add(_fee);
            emit FeeCollected(_from, feeRecipient, _fee);
        }

        return _principle;
    }

看明白了么?PAXG 每笔转账都会从转账金额中扣除一部分手续费,真正转到目标账户的是扣除手续费之后的金额。

所以啊,永远不要假定调用 transferFrom 实际转入的就是你告诉它要转入的金额。

0x03 如何解决

怎么修复这个问题呢?其实也很简单,直接看代码吧

 function deposit(address token, uint256 amount) external {
        //...
        address depositor = msg.sender;
        uint256 balanceBefore = IERC20(token).balanceOf(address(this));
        IERC20(token).safeTransferFrom(depositor, address(this), amount);
        uint256 balanceAfter = IERC20(token).balanceOf(address(this));
        uint256 actualAmount = balanceAfter - balanceBefore;
        emit Deposit(token, actualAmount, depositor);
 }
  • 原创
  • 学分: 12
  • 分类: EIP/ERC
  • 标签:
点赞 2
收藏 0
分享
本文参与登链社区写作激励计划 ,好文好收益,欢迎正在阅读的你也加入。

0 条评论

请先 登录 后评论
Ashton
Ashton
0x53b3...c54F
专注于 EVM 和比特币生态的区块链开发者