# 盘古Fist合约漏洞利用解析

By [hack_block](https://paragraph.com/@hack-block) · 2022-03-02

---

Fist发行在币安智能链上

合约地址为：0xC9882dEF23bc42D53895b8361D0b1EDC7570Bc6A

通过币安智能链官方查询网址：

[https://bscscan.com/address/0xC9882dEF23bc42D53895b8361D0b1EDC7570Bc6A](https://bscscan.com/address/0xC9882dEF23bc42D53895b8361D0b1EDC7570Bc6A)

可以查询到这个地址于Dec-23-2021 07:52:08 AM +UTC 也就是2021年12月23日部署上传合约，创建代币FistToken(FIST)总量为：200,000,000 **FIST**

然后我们进一步审视FIST的合同

![](https://storage.googleapis.com/papyrus_images/b3c5b9f9dc9e393226b1e177f52534370f1f2f3ca6fa2d8bb974750c905171d8.png)

Contract 中文意思 合同，也就是FIST的智能合约

![](https://storage.googleapis.com/papyrus_images/d0160de1bfffc372b34abed7e1b3041f7569ad43d34cd2f99e9cb9d653d6ad96.png)

这里关于读取的方法都是一些基本的读取合约信息，有兴趣的可以自己点Query查询看看

然后鼠标点击Write Contract切换过来

切换过来这里可以看到FIST智能合约总共提供了7个方法，如果看不懂的话，谷歌浏览器建议直接右键翻译成中文就一目了然。

![](https://storage.googleapis.com/papyrus_images/6a5feb1ec56fde989601a2eb927e05435079514f5954ec03b51a260d6c438074.png)

![](https://storage.googleapis.com/papyrus_images/8abf53b9e7cc96499d891ce6ac0d189b9dbe40f3e3bf68334ddd1ae723678e42.png)

到这一步我们就只关注两个点，第一个点就是第一张图中红色符号那个位置，点击链接你的小狐狸钱包，然后将你的钱包地址复制到第5个方法的收钱地址，随后填入你要的FIST数量，注意这里最大不能超过200,000,000 然后点击批准授权，然后在你的钱包中就可以收到FIST了。

问题出现在该合约编写人员未对该方法进行设置隐藏，权限设为了Public，导致可以公开被任何人调用。

好了，到此结束。

---

*Originally published on [hack_block](https://paragraph.com/@hack-block/fist)*