前言
CF代幣合約被發現存在漏洞,它允許任何人轉移他人的CF余額。到目前為止,損失約為190萬美元,而pancakeswap上CF/USDT交易對已經受到影響。知道創宇區塊鏈安全實驗室第一時間對本次事件深入跟蹤并進行分析。
事件詳情
CremaFinance:找到了黑客在黑客事件中使用的可疑discord賬戶:金色財經報道,CremaFinance在社交媒體上稱,根據合作伙伴提供的線索,我們找到了黑客在黑客事件中使用的可疑discord賬戶。我們正在與有關方面接觸,以獲得更多可能有助于偵查的信息。
金色財經此前報道,CremaFinance被黑客攻擊損失約880萬美元。[2022/7/4 1:50:09]
受影響的合約地址
DeCredit將為UniArts Network的NFT提供貸款服務:10月16日消息,DeFi 2.0協議DeCredit與多網絡NFT生態系統UniArts Network建立戰略合作伙伴關系。DeCredit將為UniArts Network的NFT提供貸款服務。[2021/10/16 20:34:18]
https://bscscan
Cream Finance計劃將DAI抵押系數提高到75%:12月7日,DeFi平臺Cream Finance官方宣布,DAI抵押系數將被提高到75%,一旦部署更改,將予以確認。12月4日消息,C.R.E.A.M.以太坊平臺宣布上線DAI,并進行將DAI抵押系數提高到75%的投票。[2020/12/7 14:26:58]
uint256fee=0;..
_transfer()函數是直接轉移代幣transfer()和授權轉移代幣transferFrom()的具體實現,但該函數的修飾器是public,因此任何人都可以不通過transfer()或transferFrom()函數直接調用它。而當變量useWhiteListSwith設置為False時,該函數不會檢查調用地址和傳輸地址是否合規,直接將代幣轉移到指定地址。
在區塊高度為16841993時,管理員就把useWhiteListSwith設置為False:
此時開始有攻擊者利用_transfer()函數直接轉移代幣:
總結
經過完整分析,知道創宇區塊鏈安全實驗室明確了該次事件的源頭由函數本身權限出現問題,而管理員同時操作不慎關閉了白名單檢測,兩方結合導致攻擊者可以實現轉移任意錢包代幣的操作。
在核心函數上我們一直建議使用最小權限原則,像這次的_transfer()函數本不該用public修飾器,使得transferFrom()函數檢查授權額度的功能形同虛設;而合約管理者也不該隨意修改關鍵變量值,導致攻擊者可以繞過白名單檢查的最后一道防線。
合約不僅僅是代碼層面的安全,不光需要白盒代碼審計,更需要合約管理員共同合理維護。
Tags:ANSTRATRANSFERData Transaction TokenTrace Network LabsTransientFERRARI
DearValuedUsers,HuobiGlobalwillbeopeningNYM(NYM)?spottrading(NYM/USDT)at05:20(UTC)onApr15.Digital.
1900/1/1 0:00:00親愛的BitMart用戶:應ERON項目方需求,BitMart將于2022年4月12日23:00暫時關閉ERON代幣的的充值和交易功能。對您造成任何不便,我們深表歉意.
1900/1/1 0:00:00DearValuedUsers,?EveryTuesday(11:00UTC),HuobiGlobalwillhostthe"PrimeEarnHigh-YieldTuesday"deposit.
1900/1/1 0:00:00Period:13:00(UTC)onApr14-13:00(UTC)onApr21,2022HowtoParticipate: ?JoinNow? ●?Clickthebuttonatthet.
1900/1/1 0:00:00原文作者:ArthurHayes原文編譯:GaryMa吳說區塊鏈本文經過了較多的編輯,標題中的Q可能是指“QE&QT量化寬松&量化收縮中的Q”.
1900/1/1 0:00:00親愛的用戶:???ZT將對平臺新注冊用戶及參與邀請活動用戶舉辦bitcoin糖果空投活動!活動一:參與注冊,即可獲得空投.
1900/1/1 0:00:00