Creat future慘遭隨意轉移幣，幕后黑手究竟是誰？_RAN

前言

CF代幣合約被發現存在漏洞，它允許任何人轉移他人的CF余額。到目前為止，損失約為190萬美元，而pancakeswap上CF/USDT交易對已經受到影響。知道創宇區塊鏈安全實驗室第一時間對本次事件深入跟蹤并進行分析。

事件詳情

Cream Finance以太坊平臺已上線DAI:DeFi平臺Cream Finance官方發布推文表示，我們已經在C.R.E.A.M.以太坊平臺上線DAI，用戶現在可以通過網站借貸。此外，提議將DAI抵押系數提高到75%的投票正在進行中。[2020/12/4 23:04:22]

受影響的合約地址

Decred聯合創始人：美國是最合適加密發展的國家:11月23日消息，Decred聯合創始人Jake Yocom-Piatt表示，美國是最適合加密發展的國家。他稱，在美國大多數司法管轄區，加密貨幣被視為個人財產，因此它們的稅收待遇相對統一。同時，加密貨幣交易是一種言論形式，所以言論自由受到保護的州是最不可能限制加密貨幣的。盡管美國目前面臨許多重大的社會問題，但其言論自由與保護加密密碼不被強制披露的措施結合在一起，使美國成為世界上對加密最友好的國家。（Cointelegraph）[2020/11/23 21:44:51]

https://bscscan

聲音 | Morgan Creek創始人：中本聰應該獲得諾貝爾和平獎:Morgan Creek創始人Anthony Pompliano今日發推稱：“中本聰應該獲得諾貝爾和平獎。我們終于有了一種貨幣，它可以在沒有任何人暴力參與的情況下成為全球儲備貨幣。”[2019/9/3]

uint256fee=0;..

_transfer()函數是直接轉移代幣transfer()和授權轉移代幣transferFrom()的具體實現，但該函數的修飾器是public，因此任何人都可以不通過transfer()或transferFrom()函數直接調用它。而當變量useWhiteListSwith設置為False時，該函數不會檢查調用地址和傳輸地址是否合規，直接將代幣轉移到指定地址。

在區塊高度為16841993時，管理員就把useWhiteListSwith設置為False：

此時開始有攻擊者利用_transfer()函數直接轉移代幣：

總結

經過完整分析，知道創宇區塊鏈安全實驗室明確了該次事件的源頭由函數本身權限出現問題，而管理員同時操作不慎關閉了白名單檢測，兩方結合導致攻擊者可以實現轉移任意錢包代幣的操作。

在核心函數上我們一直建議使用最小權限原則，像這次的_transfer()函數本不該用public修飾器，使得transferFrom()函數檢查授權額度的功能形同虛設；而合約管理者也不該隨意修改關鍵變量值，導致攻擊者可以繞過白名單檢查的最后一道防線。

合約不僅僅是代碼層面的安全，不光需要白盒代碼審計，更需要合約管理員共同合理維護。

Tags：FERANSTRARANReferral NetworktransfercoinTraDAOBRANA價格

pepe最新價格