TRANS:Creat future惨遭随意转移币，幕后黑手究竟是谁？_ans币最新消息

前言

CF代币合约被发现存在漏洞，它允许任何人转移他人的CF余额。到目前为止，损失约为190万美元，而pancakeswap上CF/USDT交易对已经受到影响。知道创宇区块链安全实验室第一时间对本次事件深入跟踪并进行分析。

事件详情

Cream Finance最新抵押资产ESD将应用资产上限规则:1月12日，Cream Finance官方宣布算法稳定币ESD将是其平台首个应用资产上限规则的新抵押资产，此后还将准备将此规则应用于其他抵押资产。今日早间消息，Cream Finance官方宣布引入资产上限规则，该规则将控制整个CREAM协议中可以提供的任何抵押资产的数量。[2021/1/12 15:57:53]

受影响的合约地址

Morgan Creek联合创始人错误预测比特币走势:金色财经报道，Morgan Creek联合创始人Jason Williams一小时前发推文称，正确的测试是当比特币价格超过一万美元时，使用美元平均成本（DCA）的策略购买比特币。你要在1.2万美元的价格时因FOMO（害怕错失的情绪）而买入吗？还是要等1.5万美元？此后BTC一度暴跌至9400美元下方，Williams再度发推文称，比特币挂了，对不起大家。据悉，使用DCA方法意味着无论价格是多少，都购买固定数量的比特币。[2020/6/2]

https://bscscan

Crypto.com获得迪拜虚拟资产监管局的MVP预备许可证:3月20日消息，据官方博客，加密交易所Crypto.com宣布其已经从迪拜虚拟资产监管局(VARA)获得了MVP预备许可证。预备阶段的MVP阶段允许获批准的持牌人满足在VARA制度内开展MVP市场运营所需的所有先决条件。

一旦获得运营许可，Crypto.com将能够扩展其经过批准的一系列受适当监管的虚拟资产活动，涵盖一系列加密交易服务(现货和衍生品)、经纪、保证金/杠杆交易，以及围绕机构投资者结算的场外交易。（Medium）[2023/3/20 13:14:32]

uint256fee=0;..

_transfer()函数是直接转移代币transfer()和授权转移代币transferFrom()的具体实现，但该函数的修饰器是public，因此任何人都可以不通过transfer()或transferFrom()函数直接调用它。而当变量useWhiteListSwith设置为False时，该函数不会检查调用地址和传输地址是否合规，直接将代币转移到指定地址。

在区块高度为16841993时，管理员就把useWhiteListSwith设置为False：

此时开始有攻击者利用_transfer()函数直接转移代币：

总结

经过完整分析，知道创宇区块链安全实验室明确了该次事件的源头由函数本身权限出现问题，而管理员同时操作不慎关闭了白名单检测，两方结合导致攻击者可以实现转移任意钱包代币的操作。

在核心函数上我们一直建议使用最小权限原则，像这次的_transfer()函数本不该用public修饰器，使得transferFrom()函数检查授权额度的功能形同虚设；而合约管理者也不该随意修改关键变量值，导致攻击者可以绕过白名单检查的最后一道防线。

合约不仅仅是代码层面的安全，不光需要白盒代码审计，更需要合约管理员共同合理维护。

标签：FERTRANSANSRANFermat Capital ManagementTRANSPARENT价格ans币最新消息franklin币FlY币最新消息

非小号热门资讯