CRE:Creat future惨遭随意转移币，幕后黑手究竟是谁？-ODAILY_CREA

前言

CF代币合约被发现存在漏洞，它允许任何人转移他人的CF余额。到目前为止，损失约为190万美元，而pancakeswap上CF/USDT交易对已经受到影响。知道创宇区块链安全实验室第一时间对本次事件深入跟踪并进行分析。

事件详情

受影响的合约地址

https://bscscan

iceCREAM第一阶段上线，原CREAM现仅有抵押功能:yearn.finance创始人Andre Cronje公布此前其为Cream Finance社区提出的新代币经济设计提案进展，目前新代币经济的第一阶段已集成并上线。第一阶段用户可通过质押CREAM获得iceCREAM（Vested CREAM），另外，协议费用和投票权也会分配给iceCREAM持有者。

新代币经济模型的变化包括：iceCREAM成为新的治理代币，1枚iceCREAM相当于1个投票，但不能转账且不可交易，原CREAM代币的抵押用例不变，但没有投票权，不过将CREAM锁定在长期质押计划中的CREAM Finance早期支持者目前仍然有权与iceCREAM持有者一起进行治理。另外，预计在第二阶段中，iceCREAM持有者可治理决定释放量。[2021/8/15 22:14:59]

uint256fee=0;..

Secret Monero Bridge完成概念验证，支持Monero和Secret间价值转移:据官方消息，Secret Monero Bridge已完成概念验证，将Monero社区连接至Secret Network和Secret DeFi，支持在Monero区块链和Secret Network之间进行价值转移。[2021/3/28 19:24:10]

_transfer()函数是直接转移代币transfer()和授权转移代币transferFrom()的具体实现，但该函数的修饰器是public，因此任何人都可以不通过transfer()或transferFrom()函数直接调用它。而当变量useWhiteListSwith设置为False时，该函数不会检查调用地址和传输地址是否合规，直接将代币转移到指定地址。

Cream Finance：FTT的Collateral Factor从50%降低至25%:Cream Finance发推表示，提案已通过，FTT的Collateral Factor从50%降低至25%，意味着供应100美元的FTT，最多可借入25美元的其它代币。[2020/11/6 11:50:45]

在区块高度为16841993时，管理员就把useWhiteListSwith设置为False：

此时开始有攻击者利用_transfer()函数直接转移代币：

总结

经过完整分析，知道创宇区块链安全实验室明确了该次事件的源头由函数本身权限出现问题，而管理员同时操作不慎关闭了白名单检测，两方结合导致攻击者可以实现转移任意钱包代币的操作。

在核心函数上我们一直建议使用最小权限原则，像这次的_transfer()函数本不该用public修饰器，使得transferFrom()函数检查授权额度的功能形同虚设；而合约管理者也不该随意修改关键变量值，导致攻击者可以绕过白名单检查的最后一道防线。

合约不仅仅是代码层面的安全，不光需要白盒代码审计，更需要合约管理员共同合理维护。

标签：CREREACREACREAMcre8币历史价格REAPERcream币废了cream币前景

币赢热门资讯