前言
CF代币合约被发现存在漏洞,它允许任何人转移他人的CF余额。到目前为止,损失约为190万美元,而pancakeswap上CF/USDT交易对已经受到影响。知道创宇区块链安全实验室第一时间对本次事件深入跟踪并进行分析。
事件详情
受影响的合约地址
https://bscscan
Balancer提议\"许可套利\"以拯救Inverse Finance被冻结的加密货币:金色财经报道,DeFi协议骨干正在协调,以拯救在2023年最大黑客攻击中被冻结的约30万美元的加密货币。该加密货币的所有者Inverse Finance担心,一旦6月8日解冻,套利者正准备攫取这些加密货币。
根据Balancer管理部门的一个论坛帖子,周二概述的一个计划将看到自动做市商Balancer对其 \"bb-e-USD \"池执行 \"许可套利\",\"在其他人能够得到它之前\"。3月中旬,当借贷平台Euler Finance向黑客损失2亿美元时,Balancer紧急冻结了这个资金池(后来黑客归还了资金)。
目前正在讨论中,该计划需要得到Balancer社区成员的批准,因为DeFi协议将不得不修改其机制。组织者计划在套利完成后对回收的代币的分配进行第二次投票。[2023/5/17 15:07:26]
uint256fee=0;..
CertiK:微软高危零日漏洞可执行任意代码,建议用户使用硬件钱包:金色财经报道,CertiK安全团队发现,近日,微软Office中一个被称为 \"Follina \"的零日漏洞(编号CVE-2022-30190)被发现。攻击者可使用微软的微软支持诊断工具(MSDT),从远程URL检索并执行恶意代码。微软Office的系列套件和使用MSDT的产品目前仍有可能受该零日漏洞的影响。
由于该漏洞允许攻击者绕过密码保护,通过这种方式,黑客能够查看并获得受害者的系统和个人信息。这个零日漏洞允许黑客进一步攻击,提升黑客在受害者系统里的权限,并获得对本地系统和运行进程的额外访问,包括目标用户的互联网浏览器和浏览器插件,如Metamask。CertiK安全团队建议,正确保护你的设备和个人信息。[2022/6/3 4:00:57]
_transfer()函数是直接转移代币transfer()和授权转移代币transferFrom()的具体实现,但该函数的修饰器是public,因此任何人都可以不通过transfer()或transferFrom()函数直接调用它。而当变量useWhiteListSwith设置为False时,该函数不会检查调用地址和传输地址是否合规,直接将代币转移到指定地址。
Buy Me a Coffee联合创始人:ZKN的生态应用Cering Swap很有前景:9月6日,Buy Me a Coffee联合创始人发布推特称,ZKN我在关注,应该很快就会上涨,他们的生态应用Cering Swap很有前景,是世界上第一个跨链聚合的去中心化交易所,Cering Swap代币CNG我也会参与,我甚至准备好了梭哈。[2021/9/6 23:04:43]
在区块高度为16841993时,管理员就把useWhiteListSwith设置为False:
此时开始有攻击者利用_transfer()函数直接转移代币:
总结
经过完整分析,知道创宇区块链安全实验室明确了该次事件的源头由函数本身权限出现问题,而管理员同时操作不慎关闭了白名单检测,两方结合导致攻击者可以实现转移任意钱包代币的操作。
在核心函数上我们一直建议使用最小权限原则,像这次的_transfer()函数本不该用public修饰器,使得transferFrom()函数检查授权额度的功能形同虚设;而合约管理者也不该随意修改关键变量值,导致攻击者可以绕过白名单检查的最后一道防线。
合约不仅仅是代码层面的安全,不光需要白盒代码审计,更需要合约管理员共同合理维护。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。