FER:Creat future慘遭隨意轉移幣，幕后黑手究竟是誰？-ODAILY_TRANS

前言

CF代幣合約被發現存在漏洞，它允許任何人轉移他人的CF余額。到目前為止，損失約為190萬美元，而pancakeswap上CF/USDT交易對已經受到影響。知道創宇區塊鏈安全實驗室第一時間對本次事件深入跟蹤并進行分析。

事件詳情

受影響的合約地址

https://bscscan

Magic Eden上線BTC鏈Creator Hub，支持創作者自主提交上架申請:7月3日消息，Magic Eden發布公告稱，上線了BTC鏈Creator Hub門戶，創作者可自主提交作品信息和相關證明材料，審核通過后將在Creator Hub上架。[2023/7/4 22:15:52]

uint256fee=0;..

_transfer()函數是直接轉移代幣transfer()和授權轉移代幣transferFrom()的具體實現，但該函數的修飾器是public，因此任何人都可以不通過transfer()或transferFrom()函數直接調用它。而當變量useWhiteListSwith設置為False時，該函數不會檢查調用地址和傳輸地址是否合規，直接將代幣轉移到指定地址。

印度房產公司hBits完成約252萬美元融資，Incred Capital等參投:9月13日消息，印度房產科技公司 hBits 宣布完成 2 億盧比（約合 252 萬美元）新一輪融資，IIFL 主席 Nirmal Jain、Incred Capital、Jungle Ventures 的前高管 Jayesh Parekh等參投。

該公司司將利用這筆資金擴大業務范圍、擴大客戶獲取、增加對新資產的收購、同時還將部署區塊鏈技術，以簡化交易執行過程，并進一步提高交易透明度。（inc42 ）[2022/9/13 13:26:52]

在區塊高度為16841993時，管理員就把useWhiteListSwith設置為False：

Web3金融服務初創公司Fiat Republic完成250萬美元融資，Credo Ventures領投:6月8日消息，Web3金融服務初創公司Fiat Republic宣布完成250萬美元種子輪+融資，本輪融資由Credo Ventures領投，Soft Bank Investment Advisers旗下Emerge Program、Connect Ventures、以及來自其他戰略加密平臺投資者和天使人參投。

Fiat Republic擁有一個專業的銀行即服務(BaaS)平臺，該公司的愿景是在Web3和傳統銀行之間架起一座橋梁，該公司已經通過收購Paybase Limited獲得了英國EMI（電子貨幣機構）身份，可以為英國加密平臺提供支付服務并發行電子貨幣。[2022/6/9 4:11:37]

此時開始有攻擊者利用_transfer()函數直接轉移代幣：

總結

經過完整分析，知道創宇區塊鏈安全實驗室明確了該次事件的源頭由函數本身權限出現問題，而管理員同時操作不慎關閉了白名單檢測，兩方結合導致攻擊者可以實現轉移任意錢包代幣的操作。

在核心函數上我們一直建議使用最小權限原則，像這次的_transfer()函數本不該用public修飾器，使得transferFrom()函數檢查授權額度的功能形同虛設；而合約管理者也不該隨意修改關鍵變量值，導致攻擊者可以繞過白名單檢查的最后一道防線。

合約不僅僅是代碼層面的安全，不光需要白盒代碼審計，更需要合約管理員共同合理維護。

Tags：FERRANTRATRANSSAFERMOONCranberrySwapSubstratumTrans Pepe

抹茶交易所