思路

CVE-2025-55182发布后随机扫描区块链项目方，偶然发现这个小项目方。 进入服务器发现Next.js框架仅用于SSR渲染前端页面，没啥用处。获取到后端API地址以后，扫描后端端口及目录，发现swagger API，其中具有提现接口，然而调用时似乎缺少参数，于是分析前端打包后的代码，参数中包含提现目的地址和提现数量，简单试了下大数，小数，负数，科学计数法等等发现单次调用都会报错，所以应该是没有溢出问题，并发发起调用请求时可以多次提现，导致余额为负数。

该漏洞本质还是Web漏洞，项目方修复速度很快，点赞