百密一疏：Force DAO假充值攻擊事件分析_FORCE:Clifford Inu

摘要:ForceDAO假充值攻擊事件分析北京時間2021年4月4日，區塊鏈項目?ForceDAO?發推提醒用戶稱「請停止在?Sushiswap?和?Uniswap?上的所有交易。」此前，FORCE?代幣被大量增發，ForceDAO?表示「團隊已意識到?xFORCE?合約漏洞，并確定了問題。xFORCE?合約上沒有更多的資金可供利用。團隊將在未來幾個小時內提供報告和下一步行動。」

Circle全球政策副總裁與其他數十位加密成員加入CFTC成立的技術委員會:金色財經報道，美國商品期貨交易委員會 (CFTC)本周宣布成立一個新的技術委員會，以對政府進行加密和人工智能等新興技術的教育。Circle 全球政策副總裁 Corey Then 與其他十位以加密貨幣為中心的成員一起也將成為技術咨詢委員會 (TAC) 的成員。

Corey Then將通過提倡直接將資金存入美聯儲來消除“銀行交易對手風險”，從而為穩定幣發行人尋求更具包容性的監管政策。

據悉，該委員會計劃于 2023 年 3 月 22 日舉行自 2020 年 12 月以來的第一次會議。[2023/3/16 13:08:48]

400

灰度GBTC負溢價率收窄為40.52%:金色財經報道，據Coinglass數據顯示，當前灰度總持倉量達203.69億美元，主流幣種信托溢價率如下：BTC，-40.52%；ETH，-51.58%；ETC，-70.16%；LTC,-54.12%；BCH，-37.4%。[2023/2/3 11:46:02]

SharkTeam第一時間對此事件進行了攻擊分析和技術分析，并總結了安全防范手段，希望后續的區塊鏈項目可以引以為戒，共筑區塊鏈行業的安全防線。

歐易Web3插件錢包行業首創Dapp無感切鏈:據官方消息，10月10日，歐易Web3錢包（插件端）發布Dapp跨生態無感切鏈功能，用戶使用歐易Web3插件錢包連接多鏈的Dapp，無需進行切鏈或切換錢包，便可自由在EVM及SOL生態間使用該Dapp功能。

據歐易全球金融市場總監Lennix介紹，目前業內還沒有任何一個插件錢包能在Dapp使用上做到跨生態無感切鏈，歐易Web3作為一站式暢游Web3的入口，要把用戶的操作精簡到極致。在插件端打通EVM和SOL生態是第一步，接下來是Aptos、Cosmos等更多異構生態。未來，用戶或許將忘掉鏈的概念。[2022/10/11 10:31:08]

一、攻擊分析

說唱歌手Tyga遭NFT平臺Kreation起訴，被指未履行協議:9月11日消息，說唱歌手Tyga因一份50萬美元的協議被NFT平臺Kreation起訴。根據法律文件，雙方協議推出三套NFT。這筆交易包括說唱歌手同意幫助“促進NFT的設計、創建、生產、營銷、銷售和分銷，以換取使用和納入TYGA的名稱、圖像、肖像、音樂和藝術品”。該協議金額50萬美元，為了順利簽約已經給Tyga支付了10萬美元。

該公司指責Tyga沒有履行他的承諾，首先，他沒有在Instagram或Twitter上發布有關該項目的消息，然后取消了在Twitter Space和Reddit的論壇上的AMA媒體采訪和社交媒體露面。該公司聲稱，在NFT發行的當天，Tyga再次未能在他的社交媒體賬戶上推廣，也未能“實質性地參與該項目的推廣和營銷”。該平臺還收到了Tyga律師的一封信，要求刪除NFTs，他們基于存在的法律問題遵從了這一要求。

Tyga未進行回應，目前案件仍在進行中。[2022/9/11 13:23:04]

通過初步分析，ForceDAO合約中的漏洞主要在xFORCE合約代碼ForceProfitSharing.sol上。該漏洞令所有人都可以在沒有FORCE的時候，鑄造xFORCE。然后再將新鑄造的xFORCE交換為FORCE。代碼分析如下：合約地址為：0xe7f445b93eb9cdabfe76541cc43ff8de930a58e6首先看一下出問題的xFORCE鑄幣代碼：

可以看到合約在幫用戶鑄造xFORCE之后，然后將FORCE通過force.?transferFrom扣除用戶的FORCE。但是并沒有判斷這個函數是否執行成功。我們繼續查看FORCE合約中的transferFrom：合約地址：0xd017D2403d779A31e1fA2261e0D3997bCACad851

在這個合約中只判斷了用戶的額度，當額度不足時返回false,由于xFORCE的合約中沒有做執行結果的判定，所以無論用戶賬戶中是否有足夠的額度，都會鑄幣成功。所以額度不足的用戶會憑空得到一大筆xFORCE，而后再使用xFORCE的withdraw函數，就可以使用剛剛憑空得到的xFORCE來兌換合約中的FORCE。從而導致資金損失。

這個是其中一個攻擊者的錢包地址：0x6807d7f7df53b7739f6438eabd40ab8c262c0aa8交易地址：0x37b44d5dbbe9c1dd75223e15977153234e8a4dbbbab2495cdcc531f44bf6e3d0

而后通過withdraw將得到的xFORCE轉換為FORCE

二、SharkTeam安全建議

在本次攻擊事件中，主要原因在于外部合約?xForce?在調用代幣轉讓時未嚴格判斷其返回值，導致用戶可以隨意鑄幣的情況發生。該漏洞是典型的“假充值”的合約漏洞，可以在關鍵邏輯上增加權限控制，在項目上線之前請專業的智能合約審計機構進行嚴格的審計，保障智能合約和數字資產安全。

Tags：FORCEFORORCNFTFORCE價格Clifford InutorchplanSODIUM Vault (NFTX)

火幣下載