Creat future慘遭隨意轉移幣，幕后黑手究竟是誰？-ODAILY_ANS

前言

CF代幣合約被發現存在漏洞，它允許任何人轉移他人的CF余額。到目前為止，損失約為190萬美元，而pancakeswap上CF/USDT交易對已經受到影響。知道創宇區塊鏈安全實驗室第一時間對本次事件深入跟蹤并進行分析。

事件詳情

受影響的合約地址

https://bscscan

Morgan Creek創始人：不允許記者持有比特幣會導致有偏差的報道:金色財經報道，針對加密記者LauraShin稱，紐約時報要求記者在撰寫加密貨幣時不持有加密貨幣，Morgan Creek創始人Anthony Pompliano在推特上表示：“如果記者在報道比特幣時不被允許持有比特幣，為什么他們在報道美元、央行或其他相關話題時可以持有美元？看來這會導致有偏差的報道。他們只是自說自話。”[2021/3/29 19:24:37]

uint256fee=0;..

Cream社區成員提議將COVER列為抵押資產:12月22日，Cream Finance提出一項提案，擬將COVER列為抵押資產。在提案中稱將COVER列為抵押資產將有3個好處。

1.進一步激勵COVER代幣持有者為Cream提供流動性；

2.為COVER代幣持有者提供將代幣用作抵押的機會，為Cover Protocol提供流動性；

3.COVER代幣持有者將為CREAM增加額外的鎖倉量，并付出額外的費用，因為目前還沒有其它借貸平臺支持COVER代幣。

目前提案投票支持率為100%，投票至12月25日結束。[2020/12/22 16:09:44]

_transfer()函數是直接轉移代幣transfer()和授權轉移代幣transferFrom()的具體實現，但該函數的修飾器是public，因此任何人都可以不通過transfer()或transferFrom()函數直接調用它。而當變量useWhiteListSwith設置為False時，該函數不會檢查調用地址和傳輸地址是否合規，直接將代幣轉移到指定地址。

Morgan Creek首席執行官：BTC能夠在網絡上存儲和轉移價值是本世紀最重要的創新之一:Morgan Creek首席執行官Mark W. Yusko表示，BTC能夠在網絡上存儲和轉移價值是本世紀最重要的創新之一，通過消除金融交易中對可信賴的第三方和尋租中間人的需求，將釋放出令人難以置信的財富創造。[2020/11/27 22:22:44]

在區塊高度為16841993時，管理員就把useWhiteListSwith設置為False：

此時開始有攻擊者利用_transfer()函數直接轉移代幣：

總結

經過完整分析，知道創宇區塊鏈安全實驗室明確了該次事件的源頭由函數本身權限出現問題，而管理員同時操作不慎關閉了白名單檢測，兩方結合導致攻擊者可以實現轉移任意錢包代幣的操作。

在核心函數上我們一直建議使用最小權限原則，像這次的_transfer()函數本不該用public修飾器，使得transferFrom()函數檢查授權額度的功能形同虛設；而合約管理者也不該隨意修改關鍵變量值，導致攻擊者可以繞過白名單檢查的最后一道防線。

合約不僅僅是代碼層面的安全，不光需要白盒代碼審計，更需要合約管理員共同合理維護。

Tags：COVTRANSCOVERANSSabai EcoverseData TransactionRecovery Right TokensGuild of Guardians

XMR