ANS:Creat future慘遭隨意轉移幣，幕后黑手究竟是誰？-ODAILY

前言

CF代幣合約被發現存在漏洞，它允許任何人轉移他人的CF余額。到目前為止，損失約為190萬美元，而pancakeswap上CF/USDT交易對已經受到影響。知道創宇區塊鏈安全實驗室第一時間對本次事件深入跟蹤并進行分析。

事件詳情

受影響的合約地址

https://bscscan

PoS驗證服務商Smart Stake將于2月21日關閉其Secret網絡驗證器:1月30日消息，PoS驗證服務商Smart Stake將于2月21日關閉其Secret網絡驗證器，用戶需重新委托給另一個驗證器。它將其歸因于Secret上復雜的驗證器操作、操作的成本/工作量、社區內最近發生的事。[2023/1/30 11:36:27]

uint256fee=0;..

聲音 | Crebaco Global首席執行官：如果印度加密禁令生效 印度將面臨129億美元的損失:加密和區塊鏈分析及咨詢公司Crebaco Global的首席執行官Sidharth Sogani表示，如果政府全面禁止加密貨幣，印度可能會失去全球數字資產市場約129億美元的份額。Sogani列出了在印度加密禁令下將受到沖擊的各種行業，以及將失去的工作崗位。他估計，印度將損失約8.4萬億印尼盾，約合129億美元。印度的加密交易所，如ZebPay和Unocoin，去年總共交易了大約40000億印尼盾(62億美元)的加密貨幣。他認為，盡管交易量的總價值并不等于收入，但收入損失將是巨大的。[2019/8/10]

_transfer()函數是直接轉移代幣transfer()和授權轉移代幣transferFrom()的具體實現，但該函數的修飾器是public，因此任何人都可以不通過transfer()或transferFrom()函數直接調用它。而當變量useWhiteListSwith設置為False時，該函數不會檢查調用地址和傳輸地址是否合規，直接將代幣轉移到指定地址。

動態 | Morgan Creek創始人提出“激進保護組合” 提議將5%可用現金投資于比特幣:7月23日消息，Morgan Creek創始人Anthony Pompliano正在推出一項投資論文，他稱之為“激進保護組合（radical protection portfolio）”，主要談論將5％的可用現金投資于比特幣。 雖然過去的表現并不能表明未來的結果，但Pompliano展示了此投資策略過去所帶來的影響。 他表示：“激進保護組合的一個版本以前做得很好。99％的現金/ 1％比特幣的投資組合將帶來約10％的年化回報。98％的現金/ 2％比特幣的投資組合將帶來約20％的年化回報。這兩項資金分配都實現了高額回報，同時比僅投資國債的風險更小。 我將此投資組合稱為‘激進保護組合’，因為它完成了兩件事：（1）下限風險僅為5％；（2）潛在上行回報率在20％+范圍內。沒有太多其他投資組合可以與這些潛在的結果相媲美。“ Pompliano指出，股市回報已經減少，并表示盡管加密投資者應該做好失去一切的準備，但他認為用5%的資金去投資比特幣是值得的。[2019/7/23]

在區塊高度為16841993時，管理員就把useWhiteListSwith設置為False：

此時開始有攻擊者利用_transfer()函數直接轉移代幣：

總結

經過完整分析，知道創宇區塊鏈安全實驗室明確了該次事件的源頭由函數本身權限出現問題，而管理員同時操作不慎關閉了白名單檢測，兩方結合導致攻擊者可以實現轉移任意錢包代幣的操作。

在核心函數上我們一直建議使用最小權限原則，像這次的_transfer()函數本不該用public修飾器，使得transferFrom()函數檢查授權額度的功能形同虛設；而合約管理者也不該隨意修改關鍵變量值，導致攻擊者可以繞過白名單檢查的最后一道防線。

合約不僅僅是代碼層面的安全，不光需要白盒代碼審計，更需要合約管理員共同合理維護。

Tags：ANSRANFERTRAMeganSwapTransferChainAI Trader

幣安交易所app下載