宇宙链 宇宙链
Ctrl+D收藏宇宙链

Creat future惨遭随意转移币,幕后黑手究竟是谁?

作者:

时间:1900/1/1 0:00:00

前言

CF代币合约被发现存在漏洞,它允许任何人转移他人的CF余额。到目前为止,损失约为190万美元,而pancakeswap上CF/USDT交易对已经受到影响。知道创宇区块链安全实验室第一时间对本次事件深入跟踪并进行分析。

事件详情

受影响的合约地址

https://bscscan

uint256fee=0;..

声音 | Morgan Creek创始人:近十年来比特币的复合年增长率为235%:Morgan Creek(摩根溪)创始人Anthony Pompliano发推文称,近十年来,比特币的复合年增长率为235%。世界上最有价值的“稀薄空气”。[2019/7/27]

_transfer()函数是直接转移代币transfer()和授权转移代币transferFrom()的具体实现,但该函数的修饰器是public,因此任何人都可以不通过transfer()或transferFrom()函数直接调用它。而当变量useWhiteListSwith设置为False时,该函数不会检查调用地址和传输地址是否合规,直接将代币转移到指定地址。

在区块高度为16841993时,管理员就把useWhiteListSwith设置为False:

此时开始有攻击者利用_transfer()函数直接转移代币:

总结

经过完整分析,知道创宇区块链安全实验室明确了该次事件的源头由函数本身权限出现问题,而管理员同时操作不慎关闭了白名单检测,两方结合导致攻击者可以实现转移任意钱包代币的操作。

在核心函数上我们一直建议使用最小权限原则,像这次的_transfer()函数本不该用public修饰器,使得transferFrom()函数检查授权额度的功能形同虚设;而合约管理者也不该随意修改关键变量值,导致攻击者可以绕过白名单检查的最后一道防线。

合约不仅仅是代码层面的安全,不光需要白盒代码审计,更需要合约管理员共同合理维护。

标签:ANSFERTRATRANSMaya Preferred 223Safe Trade CoinTrans Pepe

币安app官网下载热门资讯
Coinbase 通过可能的代币列表引发愤怒

一些列出的代币正在飙升,尽管批评者指责Coinbase考虑了毫无价值的代币。 关键要点 Coinbase发布了一份50种新代币的清单,正在考虑在其平台上上市。许多代币的价格在过去24小时内飙升.

1900/1/1 0:00:00
BitWell研究院——Rangers Protocol解析

1、研究院短评 RangersProtocol由著名的区块链游戏发行商MixMarvel所孵化,经过几年的发展,已从最初的以太坊Layer2扩容解决方案,逐步转型成一个融合了跨链、NFT、EVM协议.

1900/1/1 0:00:00
Hotcoin關於開放BRK交易的公告

尊敬的用戶:Hotcoin將於(GMT8)2022年4月12日18:00開放BRK充值業務,(GMT8)2022年4月14日18:00開放BRK/USDT交易業務,(GMT8)2022年4月15日18:00開放BRK提幣業務.

1900/1/1 0:00:00
雪梨交易所:NFT市场NFT.com将于5月份推出

没有风险投资、没有有限合伙人、完全由社区管理的NFT市场NFT.com将于5月份推出,SharkTank明星投资人KevinO'Leary担任该项目的顾问.

1900/1/1 0:00:00
IOSG Ventures:预言机的黄金时代要来了吗?

原文作者:Bryan 原文来源:IOSGVentureDeFi的应用:PriceFeeds并不简单在DeFi中被广泛采用的预言机主要有两种.

1900/1/1 0:00:00
如何深入地研究一个加密项目?

撰写:OnchainWizard编译:TechFlowIntern研究一个项目并建立其自己的信念是链上投资者旅程的关键一步.

1900/1/1 0:00:00