前言
CF代币合约被发现存在漏洞,它允许任何人转移他人的CF余额。到目前为止,损失约为190万美元,而pancakeswap上CF/USDT交易对已经受到影响。知道创宇区块链安全实验室第一时间对本次事件深入跟踪并进行分析。
事件详情
受影响的合约地址
https://bscscan
uint256fee=0;..
CreatorDAO完成2000万美元种子轮融资,a16z和Initialized Capital领投:8月9日消息,CreatorDAO完成2000万美元种子轮融资,a16z和Initialized Capital领投,Paris Hilton和音乐家The Chainsmokers等参投。据悉,CreatorDAO投资于创作者,以换取他们未来收入的一定比例,DAO结构允许众包投资决策,并奖励对DAO的贡献。(CoinDesk)[2022/8/10 12:13:57]
_transfer()函数是直接转移代币transfer()和授权转移代币transferFrom()的具体实现,但该函数的修饰器是public,因此任何人都可以不通过transfer()或transferFrom()函数直接调用它。而当变量useWhiteListSwith设置为False时,该函数不会检查调用地址和传输地址是否合规,直接将代币转移到指定地址。
Decred发布v1.6版本 包含闪电网络集成等更新:据官方消息,Decred宣布发布v1.6版本。该版本包括以下更新:
- 一项新的共识投票以实现Decred Treasury去中心化;
- 流线型私人质押;
- Decrediton中的私人交易;
- 闪电网络集成。[2021/1/26 13:32:35]
在区块高度为16841993时,管理员就把useWhiteListSwith设置为False:
公告 | Decred将于2020年年中发布去中心化交易平台Decred DEX:推特用户Decred Dragon近日发布图片,内容显示Decred的去中心化交易平台Decred DEX即将在2020年年中发布。[2020/2/10]
此时开始有攻击者利用_transfer()函数直接转移代币:
动态 | Morgan Creek创始人转发特朗普推文并称比特币仅今年就上涨了122%:金色财经报道,美国总统特朗普发布推文称,纳斯达克仅今年就上涨了27% !Morgan Creek创始人Anthony?Pompliano转发推文并表示,仅今年比特币就上涨了122%!VanEck董事Gabor Gurbacs回复道,当比特币在纳斯达克上市的时候呢?等一下,有人正在做ETF。[2019/11/20]
总结
经过完整分析,知道创宇区块链安全实验室明确了该次事件的源头由函数本身权限出现问题,而管理员同时操作不慎关闭了白名单检测,两方结合导致攻击者可以实现转移任意钱包代币的操作。
在核心函数上我们一直建议使用最小权限原则,像这次的_transfer()函数本不该用public修饰器,使得transferFrom()函数检查授权额度的功能形同虚设;而合约管理者也不该随意修改关键变量值,导致攻击者可以绕过白名单检查的最后一道防线。
合约不仅仅是代码层面的安全,不光需要白盒代码审计,更需要合约管理员共同合理维护。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。