RAN:Creat future慘遭隨意轉移幣，幕后黑手究竟是誰？_transfercoin

前言

CF代幣合約被發現存在漏洞，它允許任何人轉移他人的CF余額。到目前為止，損失約為190萬美元，而pancakeswap上CF/USDT交易對已經受到影響。知道創宇區塊鏈安全實驗室第一時間對本次事件深入跟蹤并進行分析。

事件詳情

新加坡區塊鏈驗證技術解決方案Accredify完成700萬美元A輪融資:金色財經報道，總部位于新加坡的區塊鏈驗證技術解決方案Accredify宣布完成700萬美元A輪融資，iGlobe Partners和SIG Venture Capital共同領投，此前曾投資過該公司的Pavilion Capital和Qualgro參投。Accredify利用區塊鏈技術的底層使用可確保共享或接收的文件的真實性，防止欺詐和偽造，比如驗證假學位和假證書等，該公司還可以幫助企業在區塊鏈（目前主要在以太坊）上創建客戶身份、以及錢包或文件存儲，確保業務資料可驗證。[2023/4/20 14:16:41]

受影響的合約地址

派盾：BSC部署Cream Financ遭受流動性危機:金色財經消息，據PeckShield數據檢測顯示，DeFi抵押借貸協議BSC部署Cream Financ遭受流動性危機，原因是被其信用用戶借入高達 107000 BNB限額而沒有抵押品。信用用戶是一個1-out-2多重簽名錢包，并于6月27日借了285000 BNB的債務。[2022/8/22 12:39:12]

https://bscscan

Morgan Creek創始人：以比特幣計價使股票價格顯得很糟糕:金色財經報道，Morgan Creek創始人Anthony Pompliano剛剛發推文稱：“由于游戲被操縱，股票市場正在上漲。他們正在系統性地使美元貶值，這意味著購買同一資產需要更多的美元。以黃金或比特幣計價相同的股票，股票價格看起來很糟糕。華爾街正在搶劫普通美國人。”[2020/6/6]

uint256fee=0;..

_transfer()函數是直接轉移代幣transfer()和授權轉移代幣transferFrom()的具體實現，但該函數的修飾器是public，因此任何人都可以不通過transfer()或transferFrom()函數直接調用它。而當變量useWhiteListSwith設置為False時，該函數不會檢查調用地址和傳輸地址是否合規，直接將代幣轉移到指定地址。

在區塊高度為16841993時，管理員就把useWhiteListSwith設置為False：

此時開始有攻擊者利用_transfer()函數直接轉移代幣：

總結

經過完整分析，知道創宇區塊鏈安全實驗室明確了該次事件的源頭由函數本身權限出現問題，而管理員同時操作不慎關閉了白名單檢測，兩方結合導致攻擊者可以實現轉移任意錢包代幣的操作。

在核心函數上我們一直建議使用最小權限原則，像這次的_transfer()函數本不該用public修飾器，使得transferFrom()函數檢查授權額度的功能形同虛設；而合約管理者也不該隨意修改關鍵變量值，導致攻擊者可以繞過白名單檢查的最后一道防線。

合約不僅僅是代碼層面的安全，不光需要白盒代碼審計，更需要合約管理員共同合理維護。

Tags：FERANSRANTRAtransfercoinTransferChainFrance Rev FinanceAstra DAO

BNB