Creat future惨遭随意转移币，幕后黑手究竟是谁？-ODAILY

前言

CF代币合约被发现存在漏洞，它允许任何人转移他人的CF余额。到目前为止，损失约为190万美元，而pancakeswap上CF/USDT交易对已经受到影响。知道创宇区块链安全实验室第一时间对本次事件深入跟踪并进行分析。

事件详情

受影响的合约地址

https://bscscan

uint256fee=0;..

Layer 1隐私公链Secret Network宣布SecretSwap V2上线主网:Layer 1隐私公链Secret Network在推特上宣布，SecretSwap V2现已上线主网。该版本具有完整的UX重新设计，包括多种性能和稳定性改进等。据悉，SecretSwap流动性已达5000万美元。SecretSwap是一个防止提前交易、支持跨链和注重隐私的AMM。通过利用Secret Network的底层隐私技术，致力于为DeFi引入关键的隐私和安全改进。[2021/5/19 22:19:51]

_transfer()函数是直接转移代币transfer()和授权转移代币transferFrom()的具体实现，但该函数的修饰器是public，因此任何人都可以不通过transfer()或transferFrom()函数直接调用它。而当变量useWhiteListSwith设置为False时，该函数不会检查调用地址和传输地址是否合规，直接将代币转移到指定地址。

Morgan Creek创始人：供需不平衡将导致比特币价格大幅波动:Morgan Creek创始人Anthony Pompliano发推文称，有太多的机构来购买比特币，而交易所里剩下的比特币却不够。供需不平衡将导致价格大幅波动。[2021/4/7 19:52:54]

在区块高度为16841993时，管理员就把useWhiteListSwith设置为False：

动态 | 前IBM、谷歌俄罗斯高管加入区块链公司Credits担任CBO:据CoinTelegraph消息，前谷歌俄罗斯首席技术官Jennifer Trelewicz已加入区块链平台信贷（blockchain platform credits）公司，担任其新任首席业务官CBO。[2019/10/20]

此时开始有攻击者利用_transfer()函数直接转移代币：

声音 | Morgan Creek创始人：比特币回报率已经接近今年股市回报率的10倍:Morgan Creek（摩根溪）创始人Anthony Pompliano在推特上发文称：“比特币年初至今的回报率为141%，标准普尔500指数年初至今的回报率为15%。比特币回报率已经接近今年股市回报率的10倍。不要指望这种情况会很快改变。[2019/6/17]

总结

经过完整分析，知道创宇区块链安全实验室明确了该次事件的源头由函数本身权限出现问题，而管理员同时操作不慎关闭了白名单检测，两方结合导致攻击者可以实现转移任意钱包代币的操作。

在核心函数上我们一直建议使用最小权限原则，像这次的_transfer()函数本不该用public修饰器，使得transferFrom()函数检查授权额度的功能形同虚设；而合约管理者也不该随意修改关键变量值，导致攻击者可以绕过白名单检查的最后一道防线。

合约不仅仅是代码层面的安全，不光需要白盒代码审计，更需要合约管理员共同合理维护。

标签：CREFERTRANSTRAConcretecodesFERRARITRANS币Mytrade

Luna热门资讯