Creat future慘遭隨意轉移幣，幕后黑手究竟是誰？-ODAILY_CRE

前言

CF代幣合約被發現存在漏洞，它允許任何人轉移他人的CF余額。到目前為止，損失約為190萬美元，而pancakeswap上CF/USDT交易對已經受到影響。知道創宇區塊鏈安全實驗室第一時間對本次事件深入跟蹤并進行分析。

事件詳情

受影響的合約地址

https://bscscan

Max Credit Cards與Bits of Gold合作推出Visa加密信用卡:5月20日消息，總部位于以色列的支付和信用卡公司Max Credit Cards與Bits of Gold簽署了一項戰略合作協議，將推出一款新的Visa信用卡——MaxBack Crypto。

該卡將允許用戶根據消費積累現金返還的資格。訂購此卡后，Bits of Gold將為客戶開立專用賬戶。在NIS中積累的現金返還金額將由Bits of Gold自動轉換為比特幣。（The Paypers）[2022/5/20 3:31:20]

uint256fee=0;..

Gate.io 將于今日12:00開通CRE/USDT交易:據官方公告，Gate.io投票上幣空投福利第173期 Carry （CRE）投票上幣活動結束， 本次活動參與人數為 4,775，共投出19,634,506票。票數已超過1000萬，符合上幣要求。Gate.io已為用戶空投549,930 CRE，并將于8月06日（今日）中午12:00 開通CRE/USDT交易與開通提現服務。CRE空投福利活動正在進行中。[2021/8/6 1:39:20]

_transfer()函數是直接轉移代幣transfer()和授權轉移代幣transferFrom()的具體實現，但該函數的修飾器是public，因此任何人都可以不通過transfer()或transferFrom()函數直接調用它。而當變量useWhiteListSwith設置為False時，該函數不會檢查調用地址和傳輸地址是否合規，直接將代幣轉移到指定地址。

動態 | Morgan Creek創始人轉發特朗普推文并稱比特幣僅今年就上漲了122%:金色財經報道，美國總統特朗普發布推文稱，納斯達克僅今年就上漲了27% ！Morgan Creek創始人Anthony?Pompliano轉發推文并表示，僅今年比特幣就上漲了122%！VanEck董事Gabor Gurbacs回復道，當比特幣在納斯達克上市的時候呢？等一下，有人正在做ETF。[2019/11/20]

在區塊高度為16841993時，管理員就把useWhiteListSwith設置為False：

此時開始有攻擊者利用_transfer()函數直接轉移代幣：

總結

經過完整分析，知道創宇區塊鏈安全實驗室明確了該次事件的源頭由函數本身權限出現問題，而管理員同時操作不慎關閉了白名單檢測，兩方結合導致攻擊者可以實現轉移任意錢包代幣的操作。

在核心函數上我們一直建議使用最小權限原則，像這次的_transfer()函數本不該用public修飾器，使得transferFrom()函數檢查授權額度的功能形同虛設；而合約管理者也不該隨意修改關鍵變量值，導致攻擊者可以繞過白名單檢查的最后一道防線。

合約不僅僅是代碼層面的安全，不光需要白盒代碼審計，更需要合約管理員共同合理維護。

Tags：CRERANTRATRANSStarCreditssamsaranetworkTRAMSV1幣TRANSPARENT

火星幣