加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads

百密一疏:Force DAO假充值攻擊事件分析_FORCE:Clifford Inu

Author:

Time:1900/1/1 0:00:00

摘要:ForceDAO假充值攻擊事件分析北京時間2021年4月4日,區塊鏈項目?ForceDAO?發推提醒用戶稱「請停止在?Sushiswap?和?Uniswap?上的所有交易。」此前,FORCE?代幣被大量增發,ForceDAO?表示「團隊已意識到?xFORCE?合約漏洞,并確定了問題。xFORCE?合約上沒有更多的資金可供利用。團隊將在未來幾個小時內提供報告和下一步行動。」

Circle全球政策副總裁與其他數十位加密成員加入CFTC成立的技術委員會:金色財經報道,美國商品期貨交易委員會 (CFTC)本周宣布成立一個新的技術委員會,以對政府進行加密和人工智能等新興技術的教育。Circle 全球政策副總裁 Corey Then 與其他十位以加密貨幣為中心的成員一起也將成為技術咨詢委員會 (TAC) 的成員。

Corey Then將通過提倡直接將資金存入美聯儲來消除“銀行交易對手風險”,從而為穩定幣發行人尋求更具包容性的監管政策。

據悉,該委員會計劃于 2023 年 3 月 22 日舉行自 2020 年 12 月以來的第一次會議。[2023/3/16 13:08:48]

400

灰度GBTC負溢價率收窄為40.52%:金色財經報道,據Coinglass數據顯示,當前灰度總持倉量達203.69億美元,主流幣種信托溢價率如下:BTC,-40.52%;ETH,-51.58%;ETC,-70.16%;LTC,-54.12%;BCH,-37.4%。[2023/2/3 11:46:02]

SharkTeam第一時間對此事件進行了攻擊分析和技術分析,并總結了安全防范手段,希望后續的區塊鏈項目可以引以為戒,共筑區塊鏈行業的安全防線。

歐易Web3插件錢包行業首創Dapp無感切鏈:據官方消息,10月10日,歐易Web3錢包(插件端)發布Dapp跨生態無感切鏈功能,用戶使用歐易Web3插件錢包連接多鏈的Dapp,無需進行切鏈或切換錢包,便可自由在EVM及SOL生態間使用該Dapp功能。

據歐易全球金融市場總監Lennix介紹,目前業內還沒有任何一個插件錢包能在Dapp使用上做到跨生態無感切鏈,歐易Web3作為一站式暢游Web3的入口,要把用戶的操作精簡到極致。在插件端打通EVM和SOL生態是第一步,接下來是Aptos、Cosmos等更多異構生態。未來,用戶或許將忘掉鏈的概念。[2022/10/11 10:31:08]

一、攻擊分析

說唱歌手Tyga遭NFT平臺Kreation起訴,被指未履行協議:9月11日消息,說唱歌手Tyga因一份50萬美元的協議被NFT平臺Kreation起訴。根據法律文件,雙方協議推出三套NFT。這筆交易包括說唱歌手同意幫助“促進NFT的設計、創建、生產、營銷、銷售和分銷,以換取使用和納入TYGA的名稱、圖像、肖像、音樂和藝術品”。該協議金額50萬美元,為了順利簽約已經給Tyga支付了10萬美元。

該公司指責Tyga沒有履行他的承諾,首先,他沒有在Instagram或Twitter上發布有關該項目的消息,然后取消了在Twitter Space和Reddit的論壇上的AMA媒體采訪和社交媒體露面。該公司聲稱,在NFT發行的當天,Tyga再次未能在他的社交媒體賬戶上推廣,也未能“實質性地參與該項目的推廣和營銷”。該平臺還收到了Tyga律師的一封信,要求刪除NFTs,他們基于存在的法律問題遵從了這一要求。

Tyga未進行回應,目前案件仍在進行中。[2022/9/11 13:23:04]

通過初步分析,ForceDAO合約中的漏洞主要在xFORCE合約代碼ForceProfitSharing.sol上。該漏洞令所有人都可以在沒有FORCE的時候,鑄造xFORCE。然后再將新鑄造的xFORCE交換為FORCE。代碼分析如下:合約地址為:0xe7f445b93eb9cdabfe76541cc43ff8de930a58e6首先看一下出問題的xFORCE鑄幣代碼:

可以看到合約在幫用戶鑄造xFORCE之后,然后將FORCE通過force.?transferFrom扣除用戶的FORCE。但是并沒有判斷這個函數是否執行成功。我們繼續查看FORCE合約中的transferFrom:合約地址:0xd017D2403d779A31e1fA2261e0D3997bCACad851

在這個合約中只判斷了用戶的額度,當額度不足時返回false,由于xFORCE的合約中沒有做執行結果的判定,所以無論用戶賬戶中是否有足夠的額度,都會鑄幣成功。所以額度不足的用戶會憑空得到一大筆xFORCE,而后再使用xFORCE的withdraw函數,就可以使用剛剛憑空得到的xFORCE來兌換合約中的FORCE。從而導致資金損失。

這個是其中一個攻擊者的錢包地址:0x6807d7f7df53b7739f6438eabd40ab8c262c0aa8交易地址:0x37b44d5dbbe9c1dd75223e15977153234e8a4dbbbab2495cdcc531f44bf6e3d0

而后通過withdraw將得到的xFORCE轉換為FORCE

二、SharkTeam安全建議

在本次攻擊事件中,主要原因在于外部合約?xForce?在調用代幣轉讓時未嚴格判斷其返回值,導致用戶可以隨意鑄幣的情況發生。該漏洞是典型的“假充值”的合約漏洞,可以在關鍵邏輯上增加權限控制,在項目上線之前請專業的智能合約審計機構進行嚴格的審計,保障智能合約和數字資產安全。

Tags:FORCEFORORCNFTFORCE價格Clifford InutorchplanSODIUM Vault (NFTX)

火幣下載
Facebook上調AR/VR主管,只為搶占元宇宙先機_ACE:CEB

原文標題:《Facebook更換CTO:曾是小扎老師,忠心追隨15載,一朝上位只因小扎愛上了元宇宙》 文|油醋 Facebook將在明年迎來新的CTO.

1900/1/1 0:00:00
中國工程院發布“基于區塊鏈的電子證據平臺”案例_區塊鏈:B2C

據《證券日報》消息,9月7日,中國工程院《中國區塊鏈發展戰略研究》項目發布“發現100個中國區塊鏈創新應用”欄目之“基于區塊鏈的電子證據平臺”案例.

1900/1/1 0:00:00
墨西哥零售巨頭Grupo Elektra將增加比特幣閃電支付_TAN:NAS

據U.Today9月6日消息,墨西哥零售和銀行公司GrupoElektra將支持比特幣閃電網絡.

1900/1/1 0:00:00
Optimism發文稱即將公布一個大新聞,從業者猜測或和代幣釋放相關_PTI:Timicoin

巴比特訊,Optimism在推特發文稱,下周他們將發布一個大新聞。有從業者猜測該大新聞可能是Optimism將會公布其有關代幣分發的方案.

1900/1/1 0:00:00
如何解決DAO 中的富豪統治問題?鏈下聲譽是精英管理的關鍵_DAO:DID價格

原標題:《DAO中的富豪統治問題》鏈下聲譽是精英管理的關鍵DAO或去中心化自治組織類似于企業,它通過代幣化治理進行投票。如果你想加入一個DAO,在公開市場上購買某些代幣通常是唯一的資格.

1900/1/1 0:00:00
從IPFS的特性,看其與NFT浪潮如何結合_NFT:加密貨幣總市值為1963億美元

2021年見證了NFT的大爆發,NFT的核心價值主張是持久性(Permanence)和不可變性(Immutability)。然而,由于設計缺陷,市面上許多用于出售的NFT都做不到這兩點.

1900/1/1 0:00:00
ads