Digital garden

code4rena-2022-08-nounsdao-l03

2 min read

code4rena-2022-08-nounsdao-l03

[L‑03] Missing checks for address(0x0) when assigning values to address state variables

보고서

Summary

address 변수에 값을 할당할 때 address(0) 인지 확인하지 않았음을 지적

Keyword

input validation, address

Vulnerability

File: contracts/governance/NounsDAOLogicV1.sol
 
605:          pendingAdmin = newPendingAdmin;
 
642:          vetoer = newVetoer;
File: contracts/governance/NounsDAOLogicV2.sol
 
807:          pendingAdmin = newPendingAdmin;
 
844:          vetoer = newVetoer;
File: contracts/governance/NounsDAOProxy.sol
 
71:           admin = admin_;

address 변수에 값을 할당할 때, address(0) 인지 확인하지 않았다는 점을 지적했다.

컨트랙트 주소의 경우 특히 주의할 필요가 있으므로 인정되는것 같다.

Impact

실수로 잘못된 주소를 변수에 저장했을 시 컨트랙트가 오작동할 수 있다.

Mitigation

address(0) 인지 확인한다.

Memo

별 것 아닌 것 같은데, 이런것도 상금을 주긴 하는 것 같다. address(0) 만 확인하는게 능사가 아님에도..

tags: bughunting, nouns dao, lack-of-input-validation-vul, smart contract, solidity, severity low

Graph View