Creat future惨遭随意转移币,幕后黑手究竟是谁?-ODAILY_ANS:Transaction Service fee

前言

CF代币合约被发现存在漏洞,它允许任何人转移他人的CF余额。到目前为止,损失约为190万美元,而pancakeswap上CF/USDT交易对已经受到影响。知道创宇区块链安全实验室第一时间对本次事件深入跟踪并进行分析。

事件详情

受影响的合约地址

https://bscscan

跨链预言机解决方案SupraOracles与Morpheus Network达成合作:据官方消息,跨链预言机解决方案SupraOracles宣布与供应链SaaS中间件平台Morpheus Network达成合作。

该平台可以连接到多个独立的系统,并根据预先确定的情况触发操作,允许用户自动化和优化他们的手动操作以减少误操作。该平台的基本功能是构建一个模块化、适应性强的供应链流程和工作流。它将支付、仓储、运输、文档和制造等看似独立的系统和层统一到一个源中,从而实现从头到尾的完全透明和过程自动化。[2022/6/30 1:40:25]

uint256fee=0;..

SupreNFT获毕加索集团《朵拉的肖像》电子版权NFT独家代理:据官方消息,毕加索集团授权SupreNFT 作为毕加索集团单幅画作《朵拉的肖像》电子版权 NFT 独家代理商,双方将共同规划毕加索画作在全世界的NFT授权合作业务。

据悉,SupreNFT是?个综合功能性NFT铸造及交易平台。SupreNFT已与奢侈品品牌及艺术平台达成战略合作。《朵拉的肖像》被誉为毕加索最佳的作品之一,是毕加索为他的情人朵拉画的众多肖像中的其中一幅。[2021/7/14 0:52:01]

_transfer()函数是直接转移代币transfer()和授权转移代币transferFrom()的具体实现,但该函数的修饰器是public,因此任何人都可以不通过transfer()或transferFrom()函数直接调用它。而当变量useWhiteListSwith设置为False时,该函数不会检查调用地址和传输地址是否合规,直接将代币转移到指定地址。

SuperRare为NFT艺术品推出定时拍卖:金色财经报道,数字艺术交易平台SuperRare推出了两种不同的定时拍卖,以补充其现有的固定价格和公开报价销售。两种新的拍卖形式名为预定拍卖和储备拍卖,将完全在链上进行,这意味着拍卖是非托管的、安全的和防篡改的。新功能的全部权限将于12月14日对公众开放使用。[2020/12/10 14:44:58]

在区块高度为16841993时,管理员就把useWhiteListSwith设置为False:

此时开始有攻击者利用_transfer()函数直接转移代币:

总结

经过完整分析,知道创宇区块链安全实验室明确了该次事件的源头由函数本身权限出现问题,而管理员同时操作不慎关闭了白名单检测,两方结合导致攻击者可以实现转移任意钱包代币的操作。

在核心函数上我们一直建议使用最小权限原则,像这次的_transfer()函数本不该用public修饰器,使得transferFrom()函数检查授权额度的功能形同虚设;而合约管理者也不该随意修改关键变量值,导致攻击者可以绕过白名单检查的最后一道防线。

合约不仅仅是代码层面的安全,不光需要白盒代码审计,更需要合约管理员共同合理维护。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

[0:0ms0-3:569ms