CRE:Creat future惨遭随意转移币，幕后黑手究竟是谁？-ODAILY

前言

CF代币合约被发现存在漏洞，它允许任何人转移他人的CF余额。到目前为止，损失约为190万美元，而pancakeswap上CF/USDT交易对已经受到影响。知道创宇区块链安全实验室第一时间对本次事件深入跟踪并进行分析。

事件详情

受影响的合约地址

https://bscscan

Magic Eden启动强制执行创作者版税的新协议Open Creator Protocol:12月2日消息，Solana生态NFT市场Magic Eden宣布，从当地时间12月2日开始，Magic Eden将启动一项协议，该协议将对所有选择使用该工具的新收藏品征收版税。

此前10月17日消息，Magic Eden宣布启用可选版税，允许NFT购买者选择全部、一半或没有版税。（CoinDesk）[2022/12/2 21:16:58]

uint256fee=0;..

因SecretSwap合约存在漏洞，公链Secret Network已完成计划外升级:9月15日消息，隐私公链Secret Network在推特表示，主网已经进行了一次计划外升级，将主网版本从secret-2升级为secret-3，以防止网络出现重大安全问题而导致资金损失。团队表示，原生代币SCRT和跨链桥合约都没有受到影响，只有一个单一的智能合约受到了影响，该合约来自于SecretSwap，有一个漏洞被利用了，使攻击者可以抽走质押SEFI合约中的资金。目前跨链桥仍处于关闭状态，交易所的存款功能也处于关闭状态。[2021/9/15 23:25:43]

_transfer()函数是直接转移代币transfer()和授权转移代币transferFrom()的具体实现，但该函数的修饰器是public，因此任何人都可以不通过transfer()或transferFrom()函数直接调用它。而当变量useWhiteListSwith设置为False时，该函数不会检查调用地址和传输地址是否合规，直接将代币转移到指定地址。

CREAM 24H最高涨幅143.36%:据Gate.io行情显示，截至今日16:00，交易对CREAM/USDT 24H最高涨幅达143.36%，当前涨幅109.56%，24H最高价166.69美元，当前报价143.36美元。近期行情波动较大，请注意控制风险。[2020/9/20]

在区块高度为16841993时，管理员就把useWhiteListSwith设置为False：

此时开始有攻击者利用_transfer()函数直接转移代币：

总结

经过完整分析，知道创宇区块链安全实验室明确了该次事件的源头由函数本身权限出现问题，而管理员同时操作不慎关闭了白名单检测，两方结合导致攻击者可以实现转移任意钱包代币的操作。

在核心函数上我们一直建议使用最小权限原则，像这次的_transfer()函数本不该用public修饰器，使得transferFrom()函数检查授权额度的功能形同虚设；而合约管理者也不该随意修改关键变量值，导致攻击者可以绕过白名单检查的最后一道防线。

合约不仅仅是代码层面的安全，不光需要白盒代码审计，更需要合约管理员共同合理维护。

标签：CRERANANSTRANSCRE价格Branaverseans币交易网Translatix

KuCoin热门资讯