ANS:Creat future惨遭随意转移币，幕后黑手究竟是谁？-ODAILY_Translatix

前言

CF代币合约被发现存在漏洞，它允许任何人转移他人的CF余额。到目前为止，损失约为190万美元，而pancakeswap上CF/USDT交易对已经受到影响。知道创宇区块链安全实验室第一时间对本次事件深入跟踪并进行分析。

事件详情

受影响的合约地址

https://bscscan

以太坊DeFi协议Cream Finance遭受攻击，损失1.15亿美元:金色财经报道，DeFi借贷协议CreamFinance再次遭受攻击，损失达1.15亿美元。被盗的资金主要是CreamLP代币和其他ERC-20代币。PeckShield发现了一笔用于实施这一攻击行为的大额闪电贷。根据区块链记录，9200万美元被盗到一个地址，2300万美元被盗到另一个地址，尽管这些资金现在被转移到不同的钱包中。根据Rekt的排行榜，这是有史以来第三大DeFi黑客攻击（尽管两个更大的黑客攻击事件都有资金返还）。（TheBlock）[2021/10/28 6:16:25]

uint256fee=0;..

NFT数据：Creature World NFT 24小时成交量涨幅724.65%:DappRadar最新数据显示，过去24小时成交量排名前十的NFT项目及其成交量涨跌幅如下：Axie Infinity（-12.96%）、The Sevens (-18.82%)、Art Blocks（+82.96%）、PUNKS Comic（+42.99%）、Inertial Moment（-31.27%）、Creature World NFT（+724.65%）、Loot（-49.84%）、Gambling Apes Official（+46.32%）、Pudgy Penguins（-9.75%）、NEW GEN.ART（+440.64%）。

其中，Creature World NFT 24小时成交量成交量领涨（+724.65%）；Loot 24小时成交量成交量领跌（-49.84%）。[2021/9/9 23:12:42]

_transfer()函数是直接转移代币transfer()和授权转移代币transferFrom()的具体实现，但该函数的修饰器是public，因此任何人都可以不通过transfer()或transferFrom()函数直接调用它。而当变量useWhiteListSwith设置为False时，该函数不会检查调用地址和传输地址是否合规，直接将代币转移到指定地址。

YFI创始人AndreCronje将推出去中心化稳定币信贷协议StableCredit:DeFi聚合收益协议yearn.finance（YFI）创始人AndreCronje宣布将于几周后推出一款去中心化信贷协议StableCredit，该协议结合代币化债务稳定币、借贷、AMM和单面AMM风险来创建完全去中心化的贷款协议，允许基于任何资产创建代币化的信用资产，比如StableCredit美元、欧元、日元等。[2020/9/11]

在区块高度为16841993时，管理员就把useWhiteListSwith设置为False：

此时开始有攻击者利用_transfer()函数直接转移代币：

总结

经过完整分析，知道创宇区块链安全实验室明确了该次事件的源头由函数本身权限出现问题，而管理员同时操作不慎关闭了白名单检测，两方结合导致攻击者可以实现转移任意钱包代币的操作。

在核心函数上我们一直建议使用最小权限原则，像这次的_transfer()函数本不该用public修饰器，使得transferFrom()函数检查授权额度的功能形同虚设；而合约管理者也不该随意修改关键变量值，导致攻击者可以绕过白名单检查的最后一道防线。

合约不仅仅是代码层面的安全，不光需要白盒代码审计，更需要合约管理员共同合理维护。

标签：FERTRANSANSRANMinimal Initial SushiSwap OfferingTranslatixBNBeanstalkTYRANT币

酷币热门资讯