TRA:Creat future惨遭随意转移币，幕后黑手究竟是谁？

前言

CF代币合约被发现存在漏洞，它允许任何人转移他人的CF余额。到目前为止，损失约为190万美元，而pancakeswap上CF/USDT交易对已经受到影响。知道创宇区块链安全实验室第一时间对本次事件深入跟踪并进行分析。

事件详情

Cream Finance攻击者已将50万枚DAI换成ETH并转移到0xdeCE开头的地址:金色财经报道，据派盾预警监测，Cream Finance闪电贷攻击者已将50万枚DAI换成278.71枚ETH，并将其转移到标记为中介的0xdeCE...3c3的地址。

此前今日上午报道，Cream Finance攻击者将100万枚DAI换成555.4枚ETH并转至TradeOgre。

此前去年10月消息，DeFi协议Cream Finance遭闪电贷攻击，损失超1.3亿美元。[2023/3/22 13:19:38]

受影响的合约地址

Messari在其注册表中添加Secret Network:据官方推特消息，隐私公链Secret Network已被Messari加入其注册表（Messari Registry），以提高该项目的透明度。据悉，Messari注册表是一个加密项目信息的开源存储库中心。[2020/12/17 15:35:31]

https://bscscan

声音 | Morgan Creek创始人：数字货币世界提供的金融服务远远超过传统金融系统:Morgan Creek创始人Anthony Pompliano发推称：“我们仍处于比特币和加密货币的采用阶段，默认用户体验非常糟糕。这会随着时间的推移而改变。但即使面临这些挑战，数字货币世界提供的金融服务仍远远超过传统金融系统提供的服务。”[2019/11/11]

uint256fee=0;..

_transfer()函数是直接转移代币transfer()和授权转移代币transferFrom()的具体实现，但该函数的修饰器是public，因此任何人都可以不通过transfer()或transferFrom()函数直接调用它。而当变量useWhiteListSwith设置为False时，该函数不会检查调用地址和传输地址是否合规，直接将代币转移到指定地址。

在区块高度为16841993时，管理员就把useWhiteListSwith设置为False：

此时开始有攻击者利用_transfer()函数直接转移代币：

总结

经过完整分析，知道创宇区块链安全实验室明确了该次事件的源头由函数本身权限出现问题，而管理员同时操作不慎关闭了白名单检测，两方结合导致攻击者可以实现转移任意钱包代币的操作。

在核心函数上我们一直建议使用最小权限原则，像这次的_transfer()函数本不该用public修饰器，使得transferFrom()函数检查授权额度的功能形同虚设；而合约管理者也不该随意修改关键变量值，导致攻击者可以绕过白名单检查的最后一道防线。

合约不仅仅是代码层面的安全，不光需要白盒代码审计，更需要合约管理员共同合理维护。

标签：TRAFERRANCRETractoREFER币Frankenstein FinanceDatarius Credit

Coinw热门资讯