前言
CF代币合约被发现存在漏洞,它允许任何人转移他人的CF余额。到目前为止,损失约为190万美元,而pancakeswap上CF/USDT交易对已经受到影响。知道创宇区块链安全实验室第一时间对本次事件深入跟踪并进行分析。
事件详情
Mastercard与Solana、Ava Labs等公司合作制定新加密标准Crypto Credential:金色财经报道,Mastercard (万事达卡)宣布在与公共区块链开发商Aptos Labs、Ava Labs、Polygon和Solana Foundation合作制定一套新加密标准,将其称为 Crypto Credential,以努力建立该行业消费者、企业和政府的信任。该公司表示,Mastercard Crypto Credential将建立一套通用标准和基础设施,帮助证明使用区块链网络的消费者和企业之间的可信交互,此外, NFT 项目需要不同于发送或接收加密货币所需的验证要求。[2023/4/29 14:34:12]
受影响的合约地址
隐私公链Secret Network集成IBC Bridge:3月30日消息,隐私公链 Secret Network 宣布已和 Cosmos 交易终端 TFM 集成 IBC Bridge,该集成支持用户在 Secret 和其他 14 个支持 IBC 的链之间转移资产,支持本机 SCRT 和 SNIP-20 代币。[2023/3/30 13:35:52]
https://bscscan
声音 | Morgan Creek创始人:传统投资者曾指责比特币波动性,近期美股波动性也在攀升:金色财经报道,Morgan Creek Anthony Pompliano刚刚发推文称,在过去两年中,有很多传统投资者对比特币的波动性大喊大叫。 不要让他们看最近的VIX图表。据悉,波动率指数VIX是衡量美国股市波动的基准指数。其发布的图表数据显示,美股近期波动率大幅上升。[2020/2/28]
uint256fee=0;..
_transfer()函数是直接转移代币transfer()和授权转移代币transferFrom()的具体实现,但该函数的修饰器是public,因此任何人都可以不通过transfer()或transferFrom()函数直接调用它。而当变量useWhiteListSwith设置为False时,该函数不会检查调用地址和传输地址是否合规,直接将代币转移到指定地址。
在区块高度为16841993时,管理员就把useWhiteListSwith设置为False:
此时开始有攻击者利用_transfer()函数直接转移代币:
总结
经过完整分析,知道创宇区块链安全实验室明确了该次事件的源头由函数本身权限出现问题,而管理员同时操作不慎关闭了白名单检测,两方结合导致攻击者可以实现转移任意钱包代币的操作。
在核心函数上我们一直建议使用最小权限原则,像这次的_transfer()函数本不该用public修饰器,使得transferFrom()函数检查授权额度的功能形同虚设;而合约管理者也不该随意修改关键变量值,导致攻击者可以绕过白名单检查的最后一道防线。
合约不仅仅是代码层面的安全,不光需要白盒代码审计,更需要合约管理员共同合理维护。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。