前言
CF代币合约被发现存在漏洞,它允许任何人转移他人的CF余额。到目前为止,损失约为190万美元,而pancakeswap上CF/USDT交易对已经受到影响。知道创宇区块链安全实验室第一时间对本次事件深入跟踪并进行分析。
事件详情
受影响的合约地址
https://bscscan
iceCREAM第一阶段上线,原CREAM现仅有抵押功能:yearn.finance创始人Andre Cronje公布此前其为Cream Finance社区提出的新代币经济设计提案进展,目前新代币经济的第一阶段已集成并上线。第一阶段用户可通过质押CREAM获得iceCREAM(Vested CREAM),另外,协议费用和投票权也会分配给iceCREAM持有者。
新代币经济模型的变化包括:iceCREAM成为新的治理代币,1枚iceCREAM相当于1个投票,但不能转账且不可交易,原CREAM代币的抵押用例不变,但没有投票权,不过将CREAM锁定在长期质押计划中的CREAM Finance早期支持者目前仍然有权与iceCREAM持有者一起进行治理。另外,预计在第二阶段中,iceCREAM持有者可治理决定释放量。[2021/8/15 22:14:59]
uint256fee=0;..
Secret Monero Bridge完成概念验证,支持Monero和Secret间价值转移:据官方消息,Secret Monero Bridge已完成概念验证,将Monero社区连接至Secret Network和Secret DeFi,支持在Monero区块链和Secret Network之间进行价值转移。[2021/3/28 19:24:10]
_transfer()函数是直接转移代币transfer()和授权转移代币transferFrom()的具体实现,但该函数的修饰器是public,因此任何人都可以不通过transfer()或transferFrom()函数直接调用它。而当变量useWhiteListSwith设置为False时,该函数不会检查调用地址和传输地址是否合规,直接将代币转移到指定地址。
Cream Finance:FTT的Collateral Factor从50%降低至25%:Cream Finance发推表示,提案已通过,FTT的Collateral Factor从50%降低至25%,意味着供应100美元的FTT,最多可借入25美元的其它代币。[2020/11/6 11:50:45]
在区块高度为16841993时,管理员就把useWhiteListSwith设置为False:
此时开始有攻击者利用_transfer()函数直接转移代币:
总结
经过完整分析,知道创宇区块链安全实验室明确了该次事件的源头由函数本身权限出现问题,而管理员同时操作不慎关闭了白名单检测,两方结合导致攻击者可以实现转移任意钱包代币的操作。
在核心函数上我们一直建议使用最小权限原则,像这次的_transfer()函数本不该用public修饰器,使得transferFrom()函数检查授权额度的功能形同虚设;而合约管理者也不该随意修改关键变量值,导致攻击者可以绕过白名单检查的最后一道防线。
合约不仅仅是代码层面的安全,不光需要白盒代码审计,更需要合约管理员共同合理维护。
TRONDAO携手BitTorrentChain共同举办的2022波场黑客松大赛第二季强势回归,报名通道于5月16日开启.
1900/1/1 0:00:00随着区块链技术的持续提升,其应用场景也在不断丰富。其中DeFi生态的迅猛发展,吸引了更多的人和机构入场.
1900/1/1 0:00:002022年才揭开序幕,公链生态的竞争就已十分激烈。从去年起,BSC、Polygon、Solana等公链的发展态势火热,掀起了一层又一层的热浪.
1900/1/1 0:00:002022年4月25日,Bitget宣布将于5月9日正式开启2022年度KCGI赛事的报名,报名时间为5月9日十点到5月20日十点。比赛将于5月20日正式打响,赛程将持续到6月10日.
1900/1/1 0:00:00北京时间2022年5月16日凌晨4:22:49,CertiK安全技术团队监测到FEG在以太坊和BNB链上遭受大规模闪电贷攻击,导致了价值约130万美元的资产损失.
1900/1/1 0:00:002022.3.28第111期本期关键字V神提出新分片;宝格丽推出手表NFT系列;说唱歌手SnoopDogg推出NFT;哔哩哔哩推出数字藏品;ElonMusk将构建社交媒体将支持狗狗币;TheSa.
1900/1/1 0:00:00