前言
CF代幣合約被發現存在漏洞,它允許任何人轉移他人的CF余額。到目前為止,損失約為190萬美元,而pancakeswap上CF/USDT交易對已經受到影響。知道創宇區塊鏈安全實驗室第一時間對本次事件深入跟蹤并進行分析。
事件詳情
新加坡區塊鏈驗證技術解決方案Accredify完成700萬美元A輪融資:金色財經報道,總部位于新加坡的區塊鏈驗證技術解決方案Accredify宣布完成700萬美元A輪融資,iGlobe Partners和SIG Venture Capital共同領投,此前曾投資過該公司的Pavilion Capital和Qualgro參投。Accredify利用區塊鏈技術的底層使用可確保共享或接收的文件的真實性,防止欺詐和偽造,比如驗證假學位和假證書等,該公司還可以幫助企業在區塊鏈(目前主要在以太坊)上創建客戶身份、以及錢包或文件存儲,確保業務資料可驗證。[2023/4/20 14:16:41]
受影響的合約地址
派盾:BSC部署Cream Financ遭受流動性危機:金色財經消息,據PeckShield數據檢測顯示,DeFi抵押借貸協議BSC部署Cream Financ遭受流動性危機,原因是被其信用用戶借入高達 107000 BNB限額而沒有抵押品。信用用戶是一個1-out-2多重簽名錢包,并于6月27日借了285000 BNB的債務。[2022/8/22 12:39:12]
https://bscscan
Morgan Creek創始人:以比特幣計價使股票價格顯得很糟糕:金色財經報道,Morgan Creek創始人Anthony Pompliano剛剛發推文稱:“由于游戲被操縱,股票市場正在上漲。他們正在系統性地使美元貶值,這意味著購買同一資產需要更多的美元。以黃金或比特幣計價相同的股票,股票價格看起來很糟糕。華爾街正在搶劫普通美國人。”[2020/6/6]
uint256fee=0;..
_transfer()函數是直接轉移代幣transfer()和授權轉移代幣transferFrom()的具體實現,但該函數的修飾器是public,因此任何人都可以不通過transfer()或transferFrom()函數直接調用它。而當變量useWhiteListSwith設置為False時,該函數不會檢查調用地址和傳輸地址是否合規,直接將代幣轉移到指定地址。
在區塊高度為16841993時,管理員就把useWhiteListSwith設置為False:
此時開始有攻擊者利用_transfer()函數直接轉移代幣:
總結
經過完整分析,知道創宇區塊鏈安全實驗室明確了該次事件的源頭由函數本身權限出現問題,而管理員同時操作不慎關閉了白名單檢測,兩方結合導致攻擊者可以實現轉移任意錢包代幣的操作。
在核心函數上我們一直建議使用最小權限原則,像這次的_transfer()函數本不該用public修飾器,使得transferFrom()函數檢查授權額度的功能形同虛設;而合約管理者也不該隨意修改關鍵變量值,導致攻擊者可以繞過白名單檢查的最后一道防線。
合約不僅僅是代碼層面的安全,不光需要白盒代碼審計,更需要合約管理員共同合理維護。
Tags:FERANSRANTRAtransfercoinTransferChainFrance Rev FinanceAstra DAO
頭條 派盾:初步分析顯示BeanstalkFarms損失約為1.82億美元派盾在推特上表示,算法穩定幣項目BeanstalkFarms遭黑客攻擊,其初步分析顯示.
1900/1/1 0:00:00尊敬的用戶: BKEXETP專區將于2022年4月15日15:00上線BNX3L、BNX3S、WOO3L、WOO3S具體詳情如下:? 交易標的 交易對 BNX3L(BNX三倍做多)BKEX Gl.
1900/1/1 0:00:00尊敬的XT.COM用戶:XT.COM作為致力於為全球優質的數字資產提供優質服務的交易平臺。平臺會定期對已上線的幣種進行綜合性審核,以確保平臺幣種的高水準交易.
1900/1/1 0:00:00近日關于鏈游、元宇宙爆點的關鍵詞頻頻出鏡,這到底是消費公眾熱情、曇花一現的“短平快”還是傳統游戲邁入新領域的橄欖枝?客觀來說,傳統游戲目前確實保留著絕大多數的市場份額以及玩家群體.
1900/1/1 0:00:00Completeintime,doubleyourrewardsTakeoffonyourcryptojourneyandstandtodoubleyourwelcomerewardsBecom.
1900/1/1 0:00:00親愛的ZT用戶: ZTETF板即將上線ASTRBULL,ASTRBEAR,HNTBULL,HNTBEAR,並開啟ASTRBULL/USDT,ASTRBEAR/USDT,HNTBULL/USDT.
1900/1/1 0:00:00