ANS:Creat future慘遭隨意轉移幣，幕后黑手究竟是誰？-ODAILY

前言

CF代幣合約被發現存在漏洞，它允許任何人轉移他人的CF余額。到目前為止，損失約為190萬美元，而pancakeswap上CF/USDT交易對已經受到影響。知道創宇區塊鏈安全實驗室第一時間對本次事件深入跟蹤并進行分析。

事件詳情

受影響的合約地址

https://bscscan

NFT交易市場Zora推出Creator Toolkit白名單功能:9月19日消息，NFT交易市場Zora推出Creator Toolkit白名單功能，用戶選擇對應的錢包地址，就可讓某些社區成員從其個人收藏進行早期Mint，且插入地址時可選擇手動輸入或通過CSV上傳。[2022/9/19 7:04:58]

uint256fee=0;..

_transfer()函數是直接轉移代幣transfer()和授權轉移代幣transferFrom()的具體實現，但該函數的修飾器是public，因此任何人都可以不通過transfer()或transferFrom()函數直接調用它。而當變量useWhiteListSwith設置為False時，該函數不會檢查調用地址和傳輸地址是否合規，直接將代幣轉移到指定地址。

Moragn Creek創始人將討論將比特幣納入資產負債表的公司:Moragn Creek聯合創始人Anthony?Pompliano發推文稱，6月22日，將與Genesis Trading CEO主持網絡研討會，專注于將比特幣納入資產負債表的公司，討論為什么這些公司會將比特幣放在他們的資產負債表上。[2021/6/22 23:55:23]

在區塊高度為16841993時，管理員就把useWhiteListSwith設置為False：

火幣全球站將于1月29日16:00移除CRE/HT等交易對:據官方公告，火幣全球站將于2021年1月29日16:00移除以下交易對：CRE/HT、DGB/ETH、EM/HT、HIT/ETH、LET/ETH。[2021/1/28 14:13:16]

此時開始有攻擊者利用_transfer()函數直接轉移代幣：

總結

經過完整分析，知道創宇區塊鏈安全實驗室明確了該次事件的源頭由函數本身權限出現問題，而管理員同時操作不慎關閉了白名單檢測，兩方結合導致攻擊者可以實現轉移任意錢包代幣的操作。

在核心函數上我們一直建議使用最小權限原則，像這次的_transfer()函數本不該用public修飾器，使得transferFrom()函數檢查授權額度的功能形同虛設；而合約管理者也不該隨意修改關鍵變量值，導致攻擊者可以繞過白名單檢查的最后一道防線。

合約不僅僅是代碼層面的安全，不光需要白盒代碼審計，更需要合約管理員共同合理維護。

Tags：TRARANANSFERDecentralizedRandomExpanseferrumnetwork

以太坊最新價格