ORC:ForceDAO 項目 xFORCE 大量增發事件簡析_Play It Forward DAO

撰稿：知道創宇區塊鏈安全實驗室根據社區消息，ForceDAO項目資金庫被黑客攻擊。知道創宇區塊鏈安全實驗室第一時間跟進分析發現，ForceDAO項目資金庫被清空主要是由于其項目xFORCE代幣被大量增發導致。以下為分析詳情，供大家研究。知道創宇區塊鏈安全實驗室分析后發現：用戶在通過ForceProfitSharing合約中調用deposit函數進行充值時，會通過其項目代幣的transferFrom函數將對應數量的FORCE代幣充值進ForceProfitSharing合約，如下圖所示：

懷俄明州銀行專員擔任Fortress Trust Company CEO:金色財經報道，Fortress Blockchain Technologies今天透露，懷俄明州銀行部門的州銀行專員AlbertForkner已經加入Fortress信托公司，擔任首席執行官(CEO)。他領導著為Fortress Web3 B2B基礎設施生態系統供電的監管實體。Fortress提供了一套api驅動的B2B金融、監管和技術解決方案，用于NFT和加密技術創新者。由于Web3的倡議，這些開拓者正在改變世界，他們迫切需要一個可信的基礎來建立他們的業務。Forkner擁有超過20年的銀行監管經驗，并大量參與了特殊目的存款機構(SPDI)銀行章程，這是首個針對數字資產的此類框架。（cryptonews）[2022/6/8 4:09:42]

Nervos跨鏈協議Force Bridge將新增BTC等公鏈跨鏈橋:據官方消息，Force Bridge在最近的開發者更新中，宣布將支持比特幣、TRON、EOS和Polkadot等公鏈的跨鏈橋，該整合預計會在第二季度末完成。除此之外，ForceBridge還將與Godwoken進行集成。集成后，開發者可以在Godwoken上部署Ethereum合約，用戶可以以更低的交易費用，使用來自多條區塊鏈上的資產玩轉DeFi。

ForceBridge是一個無需信任的跨鏈協議，目前已實現CKB和Ethereum之間的無縫跨鏈交易。Godwoken是CKB上兼容EVM并支持OptimisticRollup擴容方案的Layer2框架。[2021/4/14 20:18:53]

通過分析其FORCE代幣合約發現其transferFrom函數實現存在假充值風險，即使用if…else寫法來進行條件判斷，如下圖所示：代幣合約地址：https://etherscan.io/address/0x6807d7f7df53b7739f6438eabd40ab8c262c0aa8#code

Ampleforth聯創建議Aave添加AMPL為抵押資產:1月15日，另類穩定幣項目Ampleforth（AMPL）官方宣布，其聯合創始人兼開發者Brandon已于Aave社區發起一項提案，建議Aave協議添加AMPL為抵押資產。[2021/1/15 16:13:25]

transferFrom函數實際調用doTransfer函數進行代幣轉賬，該函數中轉賬條件未使用硬判斷，返回false導致實際轉賬條件不滿足時，代幣并未被實際轉賬進入ForceProfitSharing合約，從而導致xFORCE代幣被大量鑄幣。

創宇區塊鏈安全實驗室發現，從該鏈接開始，xFORCE合約的_totalSupply變量狀態開始出現交易異常：

最終導致如下圖所示的異常鑄幣數量：

創宇區塊鏈安全實驗室再次警惕項目方進行代幣合約開發時，使用正確的代幣轉賬邏輯，謹防假充值攻擊帶來的異常程序執行。知道創宇唯一指定存證平臺：www.attest.im聯系我們：blockchain@knownsec.com知道創宇區塊鏈安全實驗室導航微信公眾號@創宇區塊鏈安全實驗室

微博@知道創宇區塊鏈實驗室https://weibo.com/BlockchainLab知乎@知道創宇區塊鏈安全實驗室https://www.zhihu.com/org/zhi-dao-chuang-yu-qu-kuai-lian-an-quan-shi-yan-shiTwitter@KS_Blockchainhttps://twitter.com/KS_Blockchain

Tags：FORFORCEORC區塊鏈Play It Forward DAOWork Force Coinorc幣現在價格區塊鏈的未來發展前景肖磊

瑞波幣