CRE:Creat future慘遭隨意轉移幣，幕后黑手究竟是誰？

前言

CF代幣合約被發現存在漏洞，它允許任何人轉移他人的CF余額。到目前為止，損失約為190萬美元，而pancakeswap上CF/USDT交易對已經受到影響。知道創宇區塊鏈安全實驗室第一時間對本次事件深入跟蹤并進行分析。

事件詳情

Mastercard與Solana、Ava Labs等公司合作制定新加密標準Crypto Credential:金色財經報道，Mastercard （萬事達卡）宣布在與公共區塊鏈開發商Aptos Labs、Ava Labs、Polygon和Solana Foundation合作制定一套新加密標準，將其稱為 Crypto Credential，以努力建立該行業消費者、企業和政府的信任。該公司表示，Mastercard Crypto Credential將建立一套通用標準和基礎設施，幫助證明使用區塊鏈網絡的消費者和企業之間的可信交互，此外， NFT 項目需要不同于發送或接收加密貨幣所需的驗證要求。[2023/4/29 14:34:12]

受影響的合約地址

CREW要求聯邦選舉委員會調查SBF是否涉嫌“嚴重違反”選舉法:金色財經報道，美國華盛頓公民責任與道德組織（CREW）要求聯邦選舉委員會調查FTX前首席執行官Sam Bankman—Fried（SBF）涉嫌“嚴重違反”選舉法，理由是他承認在2022年初選期間向支持共和黨的團體提供了“黑”錢。該組織的起訴書引用了SBF上個月的一次采訪稱，SBF向與共和黨有關的競選活動捐贈了3700萬美元或更多的資金，而且他的捐贈方式避免了法律要求公開這些捐款。[2022/12/9 21:32:35]

https://bscscan

以太坊跨鏈橋Secret Ethereum Bridge或將支持RSR:1月18日，隱私公鏈Secret Network宣布，根據此前的投票結果，以太坊跨鏈橋Secret Ethereum Bridge將支持的下一個ERC-20代幣為RSR。不過官方暫未公布具體支持時間等細節。[2021/1/18 16:24:44]

uint256fee=0;..

_transfer()函數是直接轉移代幣transfer()和授權轉移代幣transferFrom()的具體實現，但該函數的修飾器是public，因此任何人都可以不通過transfer()或transferFrom()函數直接調用它。而當變量useWhiteListSwith設置為False時，該函數不會檢查調用地址和傳輸地址是否合規，直接將代幣轉移到指定地址。

在區塊高度為16841993時，管理員就把useWhiteListSwith設置為False：

此時開始有攻擊者利用_transfer()函數直接轉移代幣：

總結

經過完整分析，知道創宇區塊鏈安全實驗室明確了該次事件的源頭由函數本身權限出現問題，而管理員同時操作不慎關閉了白名單檢測，兩方結合導致攻擊者可以實現轉移任意錢包代幣的操作。

在核心函數上我們一直建議使用最小權限原則，像這次的_transfer()函數本不該用public修飾器，使得transferFrom()函數檢查授權額度的功能形同虛設；而合約管理者也不該隨意修改關鍵變量值，導致攻擊者可以繞過白名單檢查的最后一道防線。

合約不僅僅是代碼層面的安全，不光需要白盒代碼審計，更需要合約管理員共同合理維護。

Tags：RANCREFERTRANSRANKERBTCRED價格FerrariSwapData Transaction

Ethereum