Creat future慘遭隨意轉移幣，幕后黑手究竟是誰？-ODAILY_RAN

前言

CF代幣合約被發現存在漏洞，它允許任何人轉移他人的CF余額。到目前為止，損失約為190萬美元，而pancakeswap上CF/USDT交易對已經受到影響。知道創宇區塊鏈安全實驗室第一時間對本次事件深入跟蹤并進行分析。

事件詳情

受影響的合約地址

https://bscscan

家族辦公室Accretion Capital正在為機構投資者推出NFT基金:金色財經報道，邁阿密家族辦公室Accretion Capital正在為機構投資者推出 NFT 基金“Accretion NFT Fund”，計劃在第二季度上線。該基金將進行短期投資，例如新的 NFT 基礎設施提供商和相關的代幣經濟學項目，也準備參與長期戰略，包括購買和持有藍籌 NFT，如 Bored Ape Yacht Club 收藏品和 CryptoPunks。

新基金是獨立于家族辦公室的實體，Accretion Capital還自行投資區塊鏈公司，包括入股有前途的 Web3 初創公司。（Blockworks）[2022/2/25 10:15:40]

uint256fee=0;..

區塊鏈平臺Credits推出CS加密錢包和NeobankApp:區塊鏈平臺Credits推出兩個新的iOS和安卓產品，旨在為加密貨幣的多用途使用提供機會，包括內置的CS代幣和在Credits區塊鏈平臺上發行的代幣。CS加密錢包解決進行即時金融轉賬時的匿名性和安全性問題。使用KYC程序的CreditsNeobank移動應用程序允許客戶在賬戶之間轉移資金時使用加密貨幣和法定貨幣。（AMBCrypto）[2020/7/30]

_transfer()函數是直接轉移代幣transfer()和授權轉移代幣transferFrom()的具體實現，但該函數的修飾器是public，因此任何人都可以不通過transfer()或transferFrom()函數直接調用它。而當變量useWhiteListSwith設置為False時，該函數不會檢查調用地址和傳輸地址是否合規，直接將代幣轉移到指定地址。

聲音 | Morgan Creek創始人：如果印度的政策是真的 反倒會推動加密貨幣應用:Morgan Creek創始人Anthony Pompliano剛剛發推表示：印度建議對那些持有、開采、交易加密貨幣的人判處10年監禁，我非常懷疑這會被通過。但如果確實如此，它將產生相反的效果并實際推動加密貨幣應用，因為人們不喜歡被告知如何處理他們的財富。[2019/6/8]

在區塊高度為16841993時，管理員就把useWhiteListSwith設置為False：

此時開始有攻擊者利用_transfer()函數直接轉移代幣：

總結

經過完整分析，知道創宇區塊鏈安全實驗室明確了該次事件的源頭由函數本身權限出現問題，而管理員同時操作不慎關閉了白名單檢測，兩方結合導致攻擊者可以實現轉移任意錢包代幣的操作。

在核心函數上我們一直建議使用最小權限原則，像這次的_transfer()函數本不該用public修飾器，使得transferFrom()函數檢查授權額度的功能形同虛設；而合約管理者也不該隨意修改關鍵變量值，導致攻擊者可以繞過白名單檢查的最后一道防線。

合約不僅僅是代碼層面的安全，不光需要白盒代碼審計，更需要合約管理員共同合理維護。

Tags：CREFERANSRANCRETH2幣REFER價格ANS Crypto Coinfranklin幣FlY幣團隊

幣安幣