摘要:ForceDAO假充值攻击事件分析北京时间2021年4月4日,区块链项目?ForceDAO?发推提醒用户称「请停止在?Sushiswap?和?Uniswap?上的所有交易。」此前,FORCE?代币被大量增发,ForceDAO?表示「团队已意识到?xFORCE?合约漏洞,并确定了问题。xFORCE?合约上没有更多的资金可供利用。团队将在未来几个小时内提供报告和下一步行动。」
加密交易所日均现货交易量在XRP裁决后增加近40亿美元:7月16日消息,在法官裁定Ripple通过交易所销售XRP不构成证券销售后,现货交易所的加密货币交易量有所增加。数据显示,交易所现货交易量从7月12日的127.4亿美元增加到7月14日的165.6亿美元。(The Block)[2023/7/16 10:58:07]
400
加密基金Eden Block聘请前高盛合伙人Orit Freedman Weissman:6月13日消息,总部位于伦敦的加密货币风险投资公司 Eden Block 宣布聘请前高盛合伙人 Orit Freedman Weissman 作为普通合伙人。Freedman Weissman 从九十年代初到 2014 年在以色列担任高盛合伙人,除了建立该银行的以色列业务并担任区域首席执行官外,她还专门从事私营公司的并购、融资和投资。[2023/6/14 21:34:56]
SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。
数据:FTX清算人地址持有686万枚RNDR:2月7日消息,Web3知识图谱协议0xscope发推表示,RNDR代币价格增加 5 倍的最大受益者可能是 Alameda。当清算人开始收集 Alameda 的资产时,RNDR约为 0.42 美元,但现在已升至约 2.05 美元。目前,FTX 清算人的多重签名地址持有 686 万美元 RNDR(约合1430万美元)。[2023/2/7 11:52:33]
一、攻击分析
通过初步分析,ForceDAO合约中的漏洞主要在xFORCE合约代码ForceProfitSharing.sol上。该漏洞令所有人都可以在没有FORCE的时候,铸造xFORCE。然后再将新铸造的xFORCE交换为FORCE。代码分析如下:合约地址为:0xe7f445b93eb9cdabfe76541cc43ff8de930a58e6首先看一下出问题的xFORCE铸币代码:
过去6个月从交易所撤出的价值100亿美元的稳定币:金色财经报道,在过去六个月中,价值近100亿美元的稳定币从交易所撤出,其中70%的撤出是由于BUSD的抛售。交易所的稳定币余额在其峰值时价值接近45亿美元。STBL是交易所地址上持有的硬币总量,是一种虚拟资产,它汇总了Glassnode上支持的所有ERC20稳定币的数据。包括的稳定币有BUSD、GUSD、HSUD、DAI、USDP、EURS、SAI、sUSD、USDT和USDC。[2023/1/20 11:22:12]
可以看到合约在帮用户铸造xFORCE之后,然后将FORCE通过force.?transferFrom扣除用户的FORCE。但是并没有判断这个函数是否执行成功。我们继续查看FORCE合约中的transferFrom:合约地址:0xd017D2403d779A31e1fA2261e0D3997bCACad851
在这个合约中只判断了用户的额度,当额度不足时返回false,由于xFORCE的合约中没有做执行结果的判定,所以无论用户账户中是否有足够的额度,都会铸币成功。所以额度不足的用户会凭空得到一大笔xFORCE,而后再使用xFORCE的withdraw函数,就可以使用刚刚凭空得到的xFORCE来兑换合约中的FORCE。从而导致资金损失。
这个是其中一个攻击者的钱包地址:0x6807d7f7df53b7739f6438eabd40ab8c262c0aa8交易地址:0x37b44d5dbbe9c1dd75223e15977153234e8a4dbbbab2495cdcc531f44bf6e3d0
而后通过withdraw将得到的xFORCE转换为FORCE
二、SharkTeam安全建议
在本次攻击事件中,主要原因在于外部合约?xForce?在调用代币转让时未严格判断其返回值,导致用户可以随意铸币的情况发生。该漏洞是典型的“假充值”的合约漏洞,可以在关键逻辑上增加权限控制,在项目上线之前请专业的智能合约审计机构进行严格的审计,保障智能合约和数字资产安全。
标签:FORFORCEORCUSDVotes PlatformTheForce.TradePhoenix ForceLUSD
巴比特讯,9月20日,去中心化资管协议Centrifuge宣布其先行网Altair和RMRKKanarias达成合作,为KusamaAuctions推出限量版NFT.
1900/1/1 0:00:00巴比特讯,9月28日,预付保首个落地应用率先在山东威海正式上线。据了解,威海预付保平台是全国首个“政策引导+市场化运作”相结合的区块链预付式消费协同服务平台,在威海市市场监督管理局和威海消费者协.
1900/1/1 0:00:00巴比特讯,9月23日,互联网企业第九城市、以太坊扩展和基础设施开发平台Polygon,以及分布式存储协议IPFS和Filecoin的开发及运营商ProtocolLabs联合宣布.
1900/1/1 0:00:00“波卡知识图谱”是我们针对波卡从零到一的入门级文章,我们尝试从波卡最基础的部分讲起,为大家提供全方位了解波卡的内容。今天是该栏目的第11期,带大家了解波卡特有的NPoS机制是如何发挥作用的.
1900/1/1 0:00:00据TheBlock9月9日消息,生成艺术家TylerHobbs的NFT项目Fidenza于6月在NFT平台ArtBlocks上线.
1900/1/1 0:00:00据证券时报消息,9月27日,由中国信息通信研究院、中关村区块链产业联盟、中关村安信网络身份认证产业联盟主办的ICT中国·2021高层论坛之区块链应用发展论坛在国家会议中心召开.
1900/1/1 0:00:00
月亮链