前言
CF代币合约被发现存在漏洞,它允许任何人转移他人的CF余额。到目前为止,损失约为190万美元,而pancakeswap上CF/USDT交易对已经受到影响。知道创宇区块链安全实验室第一时间对本次事件深入跟踪并进行分析。
事件详情
Cream Finance攻击者已将50万枚DAI换成ETH并转移到0xdeCE开头的地址:金色财经报道,据派盾预警监测,Cream Finance闪电贷攻击者已将50万枚DAI换成278.71枚ETH,并将其转移到标记为中介的0xdeCE...3c3的地址。
此前今日上午报道,Cream Finance攻击者将100万枚DAI换成555.4枚ETH并转至TradeOgre。
此前去年10月消息,DeFi协议Cream Finance遭闪电贷攻击,损失超1.3亿美元。[2023/3/22 13:19:38]
受影响的合约地址
Messari在其注册表中添加Secret Network:据官方推特消息,隐私公链Secret Network已被Messari加入其注册表(Messari Registry),以提高该项目的透明度。据悉,Messari注册表是一个加密项目信息的开源存储库中心。[2020/12/17 15:35:31]
https://bscscan
声音 | Morgan Creek创始人:数字货币世界提供的金融服务远远超过传统金融系统:Morgan Creek创始人Anthony Pompliano发推称:“我们仍处于比特币和加密货币的采用阶段,默认用户体验非常糟糕。这会随着时间的推移而改变。但即使面临这些挑战,数字货币世界提供的金融服务仍远远超过传统金融系统提供的服务。”[2019/11/11]
uint256fee=0;..
_transfer()函数是直接转移代币transfer()和授权转移代币transferFrom()的具体实现,但该函数的修饰器是public,因此任何人都可以不通过transfer()或transferFrom()函数直接调用它。而当变量useWhiteListSwith设置为False时,该函数不会检查调用地址和传输地址是否合规,直接将代币转移到指定地址。
在区块高度为16841993时,管理员就把useWhiteListSwith设置为False:
此时开始有攻击者利用_transfer()函数直接转移代币:
总结
经过完整分析,知道创宇区块链安全实验室明确了该次事件的源头由函数本身权限出现问题,而管理员同时操作不慎关闭了白名单检测,两方结合导致攻击者可以实现转移任意钱包代币的操作。
在核心函数上我们一直建议使用最小权限原则,像这次的_transfer()函数本不该用public修饰器,使得transferFrom()函数检查授权额度的功能形同虚设;而合约管理者也不该随意修改关键变量值,导致攻击者可以绕过白名单检查的最后一道防线。
合约不仅仅是代码层面的安全,不光需要白盒代码审计,更需要合约管理员共同合理维护。
标签:TRAFERRANCRETractoREFER币Frankenstein FinanceDatarius Credit
尊敬的Hopoo用户:Hopoo官方在此声明,Hopoo是一家来自美国并布局全球业务的衍生品交易平台,平台运营一切正常,用户持续稳定增长,平台将持续为广大用户提供更安全,更便捷的衍生品交易服务.
1900/1/1 0:00:00親愛的ZT用戶:ZTETF板即將上線ASTRBULL,ASTRBEAR,HNTBULL,HNTBEAR,並開啟ASTRBULL/USDT,ASTRBEAR/USDT,HNTBULL/USDT.
1900/1/1 0:00:00SEC主席GaryGensler表示将与CFTC合作制定一项加密货币交易平台监管新规,财政部长耶伦也在周五发话表示数字资产有扰乱金融体系和经济的风险,整体上看,美国对于加密货币的监管明显趋严.
1900/1/1 0:00:00中国北j国际科技产业博览会迄今已连续举办二十二届,是每年定期在北j举办的国家级高新技术产业国际交流与合作的国际盛会。“中国区块链发展论坛”作为科博会的重要活动,于2020年9月17日在北j召开.
1900/1/1 0:00:00尊敬的Tbit用户:Tbit将于2022年4月15日上线代币1INCH、DODO,届时将开通1INCH/USDT、DODO/USDT币币交易对.
1900/1/1 0:00:00毫无疑问,以NFT、GameFi、SocialFi等概念引领的Web3赛道,是当下区块链领域中的热门赛道,而且Web3.0也终将取代Web2.0而成为未来互联网趋势.
1900/1/1 0:00:00