前言
CF代币合约被发现存在漏洞,它允许任何人转移他人的CF余额。到目前为止,损失约为190万美元,而pancakeswap上CF/USDT交易对已经受到影响。知道创宇区块链安全实验室第一时间对本次事件深入跟踪并进行分析。
事件详情
受影响的合约地址
https://bscscan
Cream Finance闪电贷攻击者已将另外50万枚DAI换成ETH:金色财经报道,据CertiK监测,Cream Finance闪电贷攻击者0x70747df6AC244979A2ae9CA1e1A82899d02bbea4已将另外50万枚DAI换成ETH。Cream Finance在去年6月遭黑客攻击,损失约880万美元。[2023/3/30 13:34:51]
uint256fee=0;..
麦当娜和Beeple推出“Mother of Creation”NFT系列已上线SuperRare:5月12日消息,麦当娜和Beeple推出“Mother of Creation”NFT系列。Mother of Creation仅包含3个单版NFT,Mother of Nature、Mother of Evolution和Mother of Technology,三件作品现已在NFT 平台SuperRare上拍卖。[2022/5/12 3:11:50]
_transfer()函数是直接转移代币transfer()和授权转移代币transferFrom()的具体实现,但该函数的修饰器是public,因此任何人都可以不通过transfer()或transferFrom()函数直接调用它。而当变量useWhiteListSwith设置为False时,该函数不会检查调用地址和传输地址是否合规,直接将代币转移到指定地址。
Decred联合创始人:PayPal进军加密市场可能是谣言:最近有传言称,PayPal可能正准备在其平台上使用加密资产,而且开始招募加密货币和区块链相关职位。Decred联合创始人杰克·尤科姆·皮亚特(Jake Yocom-Piatt)认为,这个可能是谣言且无法确定有效性。杰克·尤科姆·皮亚特表示,比特币是加密货币先驱,其核心是一种不受政府控制的价值转移和存储方法。加密货币和PayPal系统不匹配,PayPal是一个法定货币付款平台,而且过去一直在剥夺用户在其平台上获得合法购置资金机会。这种做法目的就是为阻止整合加密货币,所以如果PayPal平台使用加密货币,会让人感觉是一种奇怪的组合。(Cointelegraph)[2020/6/28]
在区块高度为16841993时,管理员就把useWhiteListSwith设置为False:
此时开始有攻击者利用_transfer()函数直接转移代币:
总结
经过完整分析,知道创宇区块链安全实验室明确了该次事件的源头由函数本身权限出现问题,而管理员同时操作不慎关闭了白名单检测,两方结合导致攻击者可以实现转移任意钱包代币的操作。
在核心函数上我们一直建议使用最小权限原则,像这次的_transfer()函数本不该用public修饰器,使得transferFrom()函数检查授权额度的功能形同虚设;而合约管理者也不该随意修改关键变量值,导致攻击者可以绕过白名单检查的最后一道防线。
合约不仅仅是代码层面的安全,不光需要白盒代码审计,更需要合约管理员共同合理维护。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。