前言
CF代币合约被发现存在漏洞,它允许任何人转移他人的CF余额。到目前为止,损失约为190万美元,而pancakeswap上CF/USDT交易对已经受到影响。知道创宇区块链安全实验室第一时间对本次事件深入跟踪并进行分析。
事件详情
受影响的合约地址
https://bscscan
Magic Eden启动强制执行创作者版税的新协议Open Creator Protocol:12月2日消息,Solana生态NFT市场Magic Eden宣布,从当地时间12月2日开始,Magic Eden将启动一项协议,该协议将对所有选择使用该工具的新收藏品征收版税。
此前10月17日消息,Magic Eden宣布启用可选版税,允许NFT购买者选择全部、一半或没有版税。(CoinDesk)[2022/12/2 21:16:58]
uint256fee=0;..
因SecretSwap合约存在漏洞,公链Secret Network已完成计划外升级:9月15日消息,隐私公链Secret Network在推特表示,主网已经进行了一次计划外升级,将主网版本从secret-2升级为secret-3,以防止网络出现重大安全问题而导致资金损失。团队表示,原生代币SCRT和跨链桥合约都没有受到影响,只有一个单一的智能合约受到了影响,该合约来自于SecretSwap,有一个漏洞被利用了,使攻击者可以抽走质押SEFI合约中的资金。目前跨链桥仍处于关闭状态,交易所的存款功能也处于关闭状态。[2021/9/15 23:25:43]
_transfer()函数是直接转移代币transfer()和授权转移代币transferFrom()的具体实现,但该函数的修饰器是public,因此任何人都可以不通过transfer()或transferFrom()函数直接调用它。而当变量useWhiteListSwith设置为False时,该函数不会检查调用地址和传输地址是否合规,直接将代币转移到指定地址。
CREAM 24H最高涨幅143.36%:据Gate.io行情显示,截至今日16:00,交易对CREAM/USDT 24H最高涨幅达143.36%,当前涨幅109.56%,24H最高价166.69美元,当前报价143.36美元。近期行情波动较大,请注意控制风险。[2020/9/20]
在区块高度为16841993时,管理员就把useWhiteListSwith设置为False:
此时开始有攻击者利用_transfer()函数直接转移代币:
总结
经过完整分析,知道创宇区块链安全实验室明确了该次事件的源头由函数本身权限出现问题,而管理员同时操作不慎关闭了白名单检测,两方结合导致攻击者可以实现转移任意钱包代币的操作。
在核心函数上我们一直建议使用最小权限原则,像这次的_transfer()函数本不该用public修饰器,使得transferFrom()函数检查授权额度的功能形同虚设;而合约管理者也不该随意修改关键变量值,导致攻击者可以绕过白名单检查的最后一道防线。
合约不仅仅是代码层面的安全,不光需要白盒代码审计,更需要合约管理员共同合理维护。
北京时间4月8日凌晨01:43:36,CertiK安全技术团队监测到收益聚合平台Starstream因其合约中的一个执行函数漏洞被恶意利用,致使约1500万美元的资产受到损失.
1900/1/1 0:00:00伦敦,2022年3月17日—Qredo是用于数字资产托管和结算的分散式第2层基础设施,已获得服务机构控制类型1类的认证.
1900/1/1 0:00:00去中心化交易所(DEX)和自动做市商(AMM)最近推出了漩涡池,使协议用户能够访问集中流动性池。不久之后,流行的web3生活方式应用STEPN集成了Orca的池来为它的交易提供动力.
1900/1/1 0:00:00敞口是金融领域的一个重要概念,表示在金融活动中存在金融风险的部分,以及金融活动受金融风险影响的程度。简单理解就是,从事什么金融活动,对应就有什么敞口.
1900/1/1 0:00:00说起元宇宙,大家第一时间能想到什么?是头号玩家里的时空穿越还是Facebook改名“Meta”时宣传片里的虚拟办公?都说站在风口猪都可以飞起来,而元宇宙无疑就是最近最大的风口.
1900/1/1 0:00:00印度周二提议对加密货币和NFT等虚拟数字资产的转让收入征收30%的税。政府官员表示,此举是希望利用高额税率有效消除有关加密货币交易法律地位的不确定性.
1900/1/1 0:00:00