FER:Creat future惨遭随意转移币，幕后黑手究竟是谁？_RAN

前言

CF代币合约被发现存在漏洞，它允许任何人转移他人的CF余额。到目前为止，损失约为190万美元，而pancakeswap上CF/USDT交易对已经受到影响。知道创宇区块链安全实验室第一时间对本次事件深入跟踪并进行分析。

事件详情

美国玩具制造商美泰旗下NFT平台Mattel Creations将推出P2P市场功能:金色财经报道，美国玩具制造商美泰旗下数字藏品平台Mattel Creations将于4月27日推出P2P（点对点）市场功能，该功能由NFT公司Rarible提供支持。

据悉，美泰是芭比娃娃制造商，于去年11月在Flow链上推出其NFT市场Mattel Creations。[2023/4/23 14:21:37]

受影响的合约地址

Createra Genesis Land地板价突破0.7 ETH，24小时涨幅达197%:金色财经报道，据OpenSea数据显示，Createra Genesis Land地板价突破0.7 ETH，现报0.788 ETH，24小时涨幅达197%。

此前报道，今日早些时候，游戏元宇宙项目Createra宣布完成1000万美元A轮融资，Andreessen Horowitz（a16z）领投，该笔资金致力于打造以Z世代为中心的元宇宙平台。[2023/1/16 11:14:08]

https://bscscan

声音 | Morgan Creek创始人：比特币是世界上最安全的计算机网络:Morgan Creek创始人Anthony Pompliano今日发推就“美国第一资本1亿客户数据遭黑客入侵”一事评价表示：第一资本（Capital One）在一次大规模的安全漏洞中泄漏了超过1亿客户数据。从来没有人黑掉过比特币。它是世界上最安全的计算机网络。据悉，美国信用卡发行商第一资本（Capital One Financial）周一表示，一名黑客盗取了包括姓名、地址、电话号码和信用分数在内的大量用户信息，影响到美国约1亿客户和加拿大600万客户，目前这名黑客已被逮捕。[2019/7/30]

uint256fee=0;..

_transfer()函数是直接转移代币transfer()和授权转移代币transferFrom()的具体实现，但该函数的修饰器是public，因此任何人都可以不通过transfer()或transferFrom()函数直接调用它。而当变量useWhiteListSwith设置为False时，该函数不会检查调用地址和传输地址是否合规，直接将代币转移到指定地址。

在区块高度为16841993时，管理员就把useWhiteListSwith设置为False：

此时开始有攻击者利用_transfer()函数直接转移代币：

总结

经过完整分析，知道创宇区块链安全实验室明确了该次事件的源头由函数本身权限出现问题，而管理员同时操作不慎关闭了白名单检测，两方结合导致攻击者可以实现转移任意钱包代币的操作。

在核心函数上我们一直建议使用最小权限原则，像这次的_transfer()函数本不该用public修饰器，使得transferFrom()函数检查授权额度的功能形同虚设；而合约管理者也不该随意修改关键变量值，导致攻击者可以绕过白名单检查的最后一道防线。

合约不仅仅是代码层面的安全，不光需要白盒代码审计，更需要合约管理员共同合理维护。

标签：FERTRANSANSRANFerrariSwapTRANSPARENT币ANS币franklin币FlY币团队

OKB热门资讯