Creat future慘遭隨意轉移幣，幕后黑手究竟是誰？_RAN

前言

CF代幣合約被發現存在漏洞，它允許任何人轉移他人的CF余額。到目前為止，損失約為190萬美元，而pancakeswap上CF/USDT交易對已經受到影響。知道創宇區塊鏈安全實驗室第一時間對本次事件深入跟蹤并進行分析。

事件詳情

Cream已在IPFS上部署去中心化前端以防止UI攻擊:3月18日，抵押借貸平臺Cream Finance官方發文披露此前遭DNS劫持事件細節。官方表示，所有用戶資金均安全，因為其智能合約沒有任何問題。與此同時，官方已在IPFS上部署了一個去中心化的前端，已以防止將來發生任何用戶界面（UI）攻擊。此外，官方提醒稱，永遠不會要求用戶提交任何私鑰或種子短語。[2021/3/18 18:55:52]

受影響的合約地址

Morgan Creek創始人：只有黃金和比特幣可被視為金錢:金色財經報道，Morgan Creek資本管理公司創始人Mark Yusko表示，只有黃金和比特幣才可以被視為金錢。其他資產類別只代表信貸，除了比特幣，它是數字黃金。[2020/7/1]

https://bscscan

聲音 | Morgan Creek創始人：金融資產評估模型無法評估比特幣:Morgan Creek創始人Anthony Pompliano剛剛發推稱：你無法使用金融資產評估模型評估比特幣這樣的網絡資產，因為價值驅動因素不同，比特幣不受收入、利潤、GDP、利率等因素的驅動，它的價值是由用戶和安全方面的網絡效應驅動的。[2019/7/21]

uint256fee=0;..

_transfer()函數是直接轉移代幣transfer()和授權轉移代幣transferFrom()的具體實現，但該函數的修飾器是public，因此任何人都可以不通過transfer()或transferFrom()函數直接調用它。而當變量useWhiteListSwith設置為False時，該函數不會檢查調用地址和傳輸地址是否合規，直接將代幣轉移到指定地址。

在區塊高度為16841993時，管理員就把useWhiteListSwith設置為False：

此時開始有攻擊者利用_transfer()函數直接轉移代幣：

總結

經過完整分析，知道創宇區塊鏈安全實驗室明確了該次事件的源頭由函數本身權限出現問題，而管理員同時操作不慎關閉了白名單檢測，兩方結合導致攻擊者可以實現轉移任意錢包代幣的操作。

在核心函數上我們一直建議使用最小權限原則，像這次的_transfer()函數本不該用public修飾器，使得transferFrom()函數檢查授權額度的功能形同虛設；而合約管理者也不該隨意修改關鍵變量值，導致攻擊者可以繞過白名單檢查的最后一道防線。

合約不僅僅是代碼層面的安全，不光需要白盒代碼審計，更需要合約管理員共同合理維護。

Tags：RANFERTRATRANSRANKER幣Minimal Initial SushiSwap OfferingTravalatransfercoin

比特幣行情