# 盘古Fist合约漏洞利用解析

**Published by:** [hack_block](https://paragraph.com/@hack-block/)
**Published on:** 2022-03-02
**URL:** https://paragraph.com/@hack-block/fist

## Content

Fist发行在币安智能链上 合约地址为：0xC9882dEF23bc42D53895b8361D0b1EDC7570Bc6A 通过币安智能链官方查询网址： https://bscscan.com/address/0xC9882dEF23bc42D53895b8361D0b1EDC7570Bc6A 可以查询到这个地址于Dec-23-2021 07:52:08 AM +UTC 也就是2021年12月23日部署上传合约，创建代币FistToken(FIST)总量为：200,000,000 FIST 然后我们进一步审视FIST的合同Contract 中文意思 合同，也就是FIST的智能合约这里关于读取的方法都是一些基本的读取合约信息，有兴趣的可以自己点Query查询看看 然后鼠标点击Write Contract切换过来 切换过来这里可以看到FIST智能合约总共提供了7个方法，如果看不懂的话，谷歌浏览器建议直接右键翻译成中文就一目了然。到这一步我们就只关注两个点，第一个点就是第一张图中红色符号那个位置，点击链接你的小狐狸钱包，然后将你的钱包地址复制到第5个方法的收钱地址，随后填入你要的FIST数量，注意这里最大不能超过200,000,000 然后点击批准授权，然后在你的钱包中就可以收到FIST了。 问题出现在该合约编写人员未对该方法进行设置隐藏，权限设为了Public，导致可以公开被任何人调用。 好了，到此结束。

## Publication Information

- [hack_block](https://paragraph.com/@hack-block/): Publication homepage
- [All Posts](https://paragraph.com/@hack-block/): More posts from this publication
- [RSS Feed](https://api.paragraph.com/blogs/rss/@hack-block): Subscribe to updates