前言
CF代币合约被发现存在漏洞,它允许任何人转移他人的CF余额。到目前为止,损失约为190万美元,而pancakeswap上CF/USDT交易对已经受到影响。知道创宇区块链安全实验室第一时间对本次事件深入跟踪并进行分析。
事件详情
Bitfinex将上线HEZ,目前已开放存款:Bitfinex表示,Bitfinex将上线Hermez Network (HEZ) ,目前已开放存款。交易和取款将于11月13日12:00(UTC)开始。[2020/11/12 14:09:05]
受影响的合约地址
SNT上线新加坡BitSG币星交易所:据官方消息,SNT将于新加坡时间4月3日17:00(GMT+8)正式上线币星。
据介绍,SNT(Status)是以社交功能为起点,集合了即时通讯客户端、Dapp浏览器、以太坊系轻钱包的移动端应用,在业内有“区块链微信”之称,能够让使用以太坊去中心化协议的人士相互发送加密信息、智能合约和数字货币。基于Whisper开发的Status为去中心化应用提供其聊天 API(应用程序接口)和开发工具,使得用户可以软件内使用dApp服务。Status的代币用于:支持户支付信息发送、DApp服务调用、平台广告等费用。
币星BitSG是新加坡本土数字资产交易所,2017年创立。已获节点资本,链上产业基金等多家机构战略投资,旗下的币星实验室,已为超过200个项目提供了合规,法务,孵化等一站式服务。币星也是新加坡首批在金管局申请支付服务牌照的交易所,通过区块链技术赋能实体经济。[2020/4/3]
https://bscscan
Bitwise Investment拟推出由10个加密数字货币组合的指数基金:据了解,Bitwise Investment获400万美元投资 拟推出由10个加密数字货币组合的指数基金。[2017/12/13]
uint256fee=0;..
_transfer()函数是直接转移代币transfer()和授权转移代币transferFrom()的具体实现,但该函数的修饰器是public,因此任何人都可以不通过transfer()或transferFrom()函数直接调用它。而当变量useWhiteListSwith设置为False时,该函数不会检查调用地址和传输地址是否合规,直接将代币转移到指定地址。
在区块高度为16841993时,管理员就把useWhiteListSwith设置为False:
此时开始有攻击者利用_transfer()函数直接转移代币:
总结
经过完整分析,知道创宇区块链安全实验室明确了该次事件的源头由函数本身权限出现问题,而管理员同时操作不慎关闭了白名单检测,两方结合导致攻击者可以实现转移任意钱包代币的操作。
在核心函数上我们一直建议使用最小权限原则,像这次的_transfer()函数本不该用public修饰器,使得transferFrom()函数检查授权额度的功能形同虚设;而合约管理者也不该随意修改关键变量值,导致攻击者可以绕过白名单检查的最后一道防线。
合约不仅仅是代码层面的安全,不光需要白盒代码审计,更需要合约管理员共同合理维护。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。