月亮链 月亮链
Ctrl+D收藏月亮链

FORCE:慢雾:Force DAO 代币增发漏洞简析_dForce

作者:

时间:1900/1/1 0:00:00

链捕手消息,DeFi量化对冲基金ForceDAO项目的FORCE代币被大量增发,经慢雾安全团队分析发现:

在用户进行deposit操纵时,ForceDAO会为用户铸造xFORCE代币,并通过FORCE代币合约的transferFrom函数将FORCE代币转入ForceProfitSharing合约中。但FORCE代币合约的transferFrom函数使用了if-else逻辑来检查用户的授权额度,当用户的授权额度不足时transferFrom函数返回false,而ForceProfitSharing合约并未对其返回值进行检查。导致了deposit的逻辑正常执行,xFORCE代币被顺利铸造给用户,但由于transferFrom函数执行失败FORCE代币并未被真正充值进ForceProfitSharing合约中。最终造成FORCE代币被非预期的大量铸造的问题。

慢雾:针对macOS系统恶意软件RustBucket窃取系统信息:金色财经报道,SlowMist发布安全警报,针对macOS 运行系统的 Rust 和 Objective-C 编写的恶意软件RustBucket,感染链由一个 macOS 安装程序组成,该安装程序安装了一个带后门但功能正常的 PDF 阅读器。然后伪造的 PDF 阅读器需要打开一个特定的 PDF 文件,该文件作为触发恶意活动的密钥。[2023/5/23 15:20:27]

此漏洞发生的主要原因在于FORCE代币的transferFrom函数使用了`假充值`写法,但外部合约在对其进行调用时并未严格的判断其返回值,最终导致这一惨剧的发生。慢雾安全团队建议在对接此类写法的代币时使用require对其返回值进行检查,以避免此问题的发生。

慢雾:DEUS Finance 二次被黑简析:据慢雾区情报,DEUS Finance DAO在4月28日遭受闪电贷攻击,慢雾安全团队以简讯的形式将攻击原理分享如下:

1.攻击者在攻击之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。

2.在几个小时后攻击者先从多个池子闪电贷借出143200000USDC。

3.随后攻击者使用借来的USDC在BaseV1Pair进行了swap操作,兑换出了9547716.9个的DEI,由于DeiLenderSolidex中的getOnChainPrice函数是直接获取DEI-USDC交易对的代币余额进行LP价格计算。因此在此次Swap操作中将拉高getOnChainPrice函数获取的LP价格。

4.在进行Swap操作后,攻击者在DeiLenderSolidex合约中通过borrow函数进行借贷,由于borrow函数中用isSolvent进行借贷检查,而在isSolvent是使用了getOnChainPrice函数参与检查。但在步骤3中getOnChainPrice的结果已经被拉高了。导致攻击者超额借出更多的DEI。

5.最后着攻击者在把用借贷出来DEI兑换成USDC归还从几个池子借出来的USDC,获利离场。

针对该事件,慢雾安全团队给出以下防范建议:本次攻击的原因主要在于使用了不安全的预言机来计算LP价格,慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。[2022/4/28 2:37:18]

声音 | 慢雾:警惕“假充值”攻击:慢雾分析预警,如果数字货币交易所、钱包等平台在进行“EOS 充值交易确认是否成功”的判断存在缺陷,可能导致严重的“假充值”。攻击者可以在未损失任何 EOS 的前提下成功向这些平台充值 EOS,而且这些 EOS 可以进行正常交易。

慢雾安全团队已经确认真实攻击发生,但需要注意的是:EOS 这次假充值攻击和之前慢雾安全团队披露过的 USDT 假充值、以太坊代币假充值类似,更多责任应该属于平台方。由于这是一种新型攻击手法,且攻击已经在发生,相关平台方如果对自己的充值校验没有十足把握,应尽快暂停 EOS 充提,并对账自查。[2019/3/12]

标签:FORCEORCFORDEIdForceFORCE价格Forever ShibaDEIP价格

欧易okex官网热门资讯
TAL:上周加密市场共发生26起公开融资事件| 投融资周报_akita币前景

据链捕手不完全统计,5月17日到5月23日期间,区块链行业共发生26起公开投融资事件,其中有4起融资规模上亿.

1900/1/1 0:00:00
ETH:Synthetix 创始人连环推:BSC 和 Solana 给以太坊社区敲响警钟_BSC

本文来源于链闻,作者为Synthetix创始人KainWarwick,并经由PerryWang编译.

1900/1/1 0:00:00
DEFI:DeFi Alliance亚洲正式成立,旨在进一步促进东西方DeFi共同发展_EFI

链捕手消息,DeFiAlliance亚洲4月9日宣布正式成立,旨在进一步促进东西方DeFi共同发展.

1900/1/1 0:00:00
TAL:上周加密市场共发生29起公开融资事件| 投融资周报_CAP

据链捕手不完全统计,5月24日到5月30日期间,区块链行业共发生29起公开投融资事件。值得注意的是,除了DeFi、NFT板块之外,基础设施板块的热度在持续上升.

1900/1/1 0:00:00
NFT:一文读懂 NFT 金融化全方位实验:让非同质化代币「同质化」_EFI

本文发布于1kx基金的medium,作者:DmitriyBerenzon,加密货币投资基金1kx研究合伙人,编译:李科虽然自2018年初以来,非同质化代币就已经存在了.

1900/1/1 0:00:00
比特币:普华永道:加密对冲基金去年回报率中值为 128%_burger币遭攻击能重新起来吗

本文发布于链闻ChainNews,作者:普华永道、ElwoodAssetManagement与AIMA,翻译:思雨.

1900/1/1 0:00:00