前言
CF代幣合約被發現存在漏洞,它允許任何人轉移他人的CF余額。到目前為止,損失約為190萬美元,而pancakeswap上CF/USDT交易對已經受到影響。知道創宇區塊鏈安全實驗室第一時間對本次事件深入跟蹤并進行分析。
事件詳情
受影響的合約地址
https://bscscan
家族辦公室Accretion Capital正在為機構投資者推出NFT基金:金色財經報道,邁阿密家族辦公室Accretion Capital正在為機構投資者推出 NFT 基金“Accretion NFT Fund”,計劃在第二季度上線。該基金將進行短期投資,例如新的 NFT 基礎設施提供商和相關的代幣經濟學項目,也準備參與長期戰略,包括購買和持有藍籌 NFT,如 Bored Ape Yacht Club 收藏品和 CryptoPunks。
新基金是獨立于家族辦公室的實體,Accretion Capital還自行投資區塊鏈公司,包括入股有前途的 Web3 初創公司。(Blockworks)[2022/2/25 10:15:40]
uint256fee=0;..
區塊鏈平臺Credits推出CS加密錢包和NeobankApp:區塊鏈平臺Credits推出兩個新的iOS和安卓產品,旨在為加密貨幣的多用途使用提供機會,包括內置的CS代幣和在Credits區塊鏈平臺上發行的代幣。CS加密錢包解決進行即時金融轉賬時的匿名性和安全性問題。使用KYC程序的CreditsNeobank移動應用程序允許客戶在賬戶之間轉移資金時使用加密貨幣和法定貨幣。(AMBCrypto)[2020/7/30]
_transfer()函數是直接轉移代幣transfer()和授權轉移代幣transferFrom()的具體實現,但該函數的修飾器是public,因此任何人都可以不通過transfer()或transferFrom()函數直接調用它。而當變量useWhiteListSwith設置為False時,該函數不會檢查調用地址和傳輸地址是否合規,直接將代幣轉移到指定地址。
聲音 | Morgan Creek創始人:如果印度的政策是真的 反倒會推動加密貨幣應用:Morgan Creek創始人Anthony Pompliano剛剛發推表示:印度建議對那些持有、開采、交易加密貨幣的人判處10年監禁,我非常懷疑這會被通過。但如果確實如此,它將產生相反的效果并實際推動加密貨幣應用,因為人們不喜歡被告知如何處理他們的財富。[2019/6/8]
在區塊高度為16841993時,管理員就把useWhiteListSwith設置為False:
此時開始有攻擊者利用_transfer()函數直接轉移代幣:
總結
經過完整分析,知道創宇區塊鏈安全實驗室明確了該次事件的源頭由函數本身權限出現問題,而管理員同時操作不慎關閉了白名單檢測,兩方結合導致攻擊者可以實現轉移任意錢包代幣的操作。
在核心函數上我們一直建議使用最小權限原則,像這次的_transfer()函數本不該用public修飾器,使得transferFrom()函數檢查授權額度的功能形同虛設;而合約管理者也不該隨意修改關鍵變量值,導致攻擊者可以繞過白名單檢查的最后一道防線。
合約不僅僅是代碼層面的安全,不光需要白盒代碼審計,更需要合約管理員共同合理維護。
Tags:CREFERANSRANCRETH2幣REFER價格ANS Crypto Coinfranklin幣FlY幣團隊
“波卡知識圖譜”是我們針對波卡從零到一的入門級文章,我們嘗試從波卡最基礎的部分講起,為大家提供全方位了解波卡的內容,當然這是一項巨大的工程,也充滿了挑戰.
1900/1/1 0:00:00前言 北京時間2022年3月22日,知道創宇區塊鏈安全實驗室監測到Fantom生態穩定幣收益優化器OneRingFinance遭到閃電貸攻擊,黑客竊取逾145萬美元.
1900/1/1 0:00:003月14日,頂峰AscendEX重磅上線Convex-MIMDeFi挖礦,并覆蓋PC端和App端.
1900/1/1 0:00:00拓展閱讀: 詳解Arweave系列一:什么是Arweave?詳解Arweave系列二:Arweave初學者的關鍵術語詳解Arweave系列三:Arweave初學者必不可少的工具我們經常看到Arw.
1900/1/1 0:00:00Ori:現在是一個非常激動人心的時刻,有這么多的公告要公布,每個人都想知道Orca接下來會發生什么,所以我們想和你們直接談談接下來會發生什么。我專注于Orca的所有非技術方面,如戰略和市場營銷.
1900/1/1 0:00:00北京時間2022年5月9日凌晨4:34:42,CertiK安全技術團隊監測到FortressLoans遭到攻擊.
1900/1/1 0:00:00