買以太坊 買以太坊
Ctrl+D 買以太坊
ads

FORCE:百密一疏:Force DAO假充值攻擊事件分析_WEB

Author:

Time:1900/1/1 0:00:00

摘要:ForceDAO假充值攻擊事件分析北京時間2021年4月4日,區塊鏈項目?ForceDAO?發推提醒用戶稱「請停止在?Sushiswap?和?Uniswap?上的所有交易。」此前,FORCE?代幣被大量增發,ForceDAO?表示「團隊已意識到?xFORCE?合約漏洞,并確定了問題。xFORCE?合約上沒有更多的資金可供利用。團隊將在未來幾個小時內提供報告和下一步行動。」

非營利組織 Energy Web 將對比特幣礦工能源消耗情況進行評分:金色財經報道,非營利組織 Energy Web 將對比特幣礦工能源消耗情況進行評分,主要包括使用清潔能源的情況和對電網的影響。該項目名為 Green Proofs of Bitcoin(GP4BTC),GP4BTC 計劃負責人 Amy Westervelt 表示 Energy Web 可能會向希望獲得認證的礦工或希望訪問數據的用戶收取費用。[2023/5/24 22:15:15]

400

Mint Werx和Vivid Labs、福布斯旅游指南合作開發獨家數藏:金色財經報道,Web3創意工作室Mint Werx以及Web3發布平臺Vivid Labs已與福布斯旅游指南合作,提供支持Web3技術的服務2023年拉斯維加斯峰會的經驗。Mint Werx和Vivid Labs正在合作為每位參加峰會的明星獎獲得者開發獨家數字收藏品,數字收藏品可更新并支持多種資產格式。[2023/3/3 12:41:15]

SharkTeam第一時間對此事件進行了攻擊分析和技術分析,并總結了安全防范手段,希望后續的區塊鏈項目可以引以為戒,共筑區塊鏈行業的安全防線。

比特幣全網未確認交易數量為3939筆:金色財經報道,BTC.com數據顯示,目前比特幣全網未確認交易數量為3939筆,全網算力為317.39 EH/s,24小時交易速率為3.41交易/s,目前全網難度為39.16 T,預測下次難度上調10.91%至43.43 T,距離調整還剩3天2小時。[2023/2/22 12:20:36]

一、攻擊分析

通過初步分析,ForceDAO合約中的漏洞主要在xFORCE合約代碼ForceProfitSharing.sol上。該漏洞令所有人都可以在沒有FORCE的時候,鑄造xFORCE。然后再將新鑄造的xFORCE交換為FORCE。代碼分析如下:合約地址為:0xe7f445b93eb9cdabfe76541cc43ff8de930a58e6首先看一下出問題的xFORCE鑄幣代碼:

Delio 推出韓國首家“加密銀行”:金色財經報道,韓國Delio推出了該國第一家加密貨幣銀行,提供貨幣市場存款賬戶(MMDA),可以隨時進行加密貨幣存款和取款。Delio 成立于 2018 年,已經提供了一系列與加密相關的服務,但表示它現在擁有虛擬資產服務提供商 (VASP) 證書,使其能夠進入存款、貸款和資產交易等領域。MMDA 賬戶可以隨時存取加密資產,無論存儲比特幣、以太坊和瑞波幣時的表現如何,都可以提供每日復合收益。Delio 還在韓國加密產業的中心首爾江南區開設了一家分店,提供“經濟沙龍”和“加密學院”等服務。(finextra)[2022/7/8 1:59:29]

可以看到合約在幫用戶鑄造xFORCE之后,然后將FORCE通過force.?transferFrom扣除用戶的FORCE。但是并沒有判斷這個函數是否執行成功。我們繼續查看FORCE合約中的transferFrom:合約地址:0xd017D2403d779A31e1fA2261e0D3997bCACad851

在這個合約中只判斷了用戶的額度,當額度不足時返回false,由于xFORCE的合約中沒有做執行結果的判定,所以無論用戶賬戶中是否有足夠的額度,都會鑄幣成功。所以額度不足的用戶會憑空得到一大筆xFORCE,而后再使用xFORCE的withdraw函數,就可以使用剛剛憑空得到的xFORCE來兌換合約中的FORCE。從而導致資金損失。

這個是其中一個攻擊者的錢包地址:0x6807d7f7df53b7739f6438eabd40ab8c262c0aa8交易地址:0x37b44d5dbbe9c1dd75223e15977153234e8a4dbbbab2495cdcc531f44bf6e3d0

而后通過withdraw將得到的xFORCE轉換為FORCE

二、SharkTeam安全建議

在本次攻擊事件中,主要原因在于外部合約?xForce?在調用代幣轉讓時未嚴格判斷其返回值,導致用戶可以隨意鑄幣的情況發生。該漏洞是典型的“假充值”的合約漏洞,可以在關鍵邏輯上增加權限控制,在項目上線之前請專業的智能合約審計機構進行嚴格的審計,保障智能合約和數字資產安全。

Tags:FORCEFORORCWEBMoonForceFORT價格ORCL5價格coinweb交易所合法嗎

萊特幣最新價格
HIV:薩爾瓦多的比特幣日:抗議、技術故障、市場閃崩_BTC

9月7日,薩爾瓦多共和國的「比特幣法」正式生效,2008年誕生的加密貨幣比特幣在2021年進入了這個中美洲沿海國家的法幣體系中.

1900/1/1 0:00:00
DAO:權限攻擊:DAO Maker被黑事件分析_Make A Difference Token

摘要:本次攻擊原因很可能是現任管理員密鑰被盜取,SharkTeam提醒您類似授權的關鍵函數應該更多的使用多簽技術,避免單點攻擊風險.

1900/1/1 0:00:00
STE:Gavin Wood:深入研究XCM底層設計和執行模型_XCV價格

作為波卡生態共識系統之間交流思想的語言,XCM的主要性不容分說。在《GavinWood:詳解跨共識消息格式XCM設計原理與運轉機制》一文中,GavinWood對于XCM設計原理與運轉機制進行了非.

1900/1/1 0:00:00
CYB:CyberHunter發起游戲事件和Token發行提案_cybermiles

據官方消息,CyberHunter盲盒已于9月16日中午12點獨家首發在Element平臺上,隨后CyberHunter官方發起游戲事件和Token發行提案:1.是否在9月24日開啟“爭奪Loo.

1900/1/1 0:00:00
NFT:“質幣分離”全紀錄:她把鉆石做成NFT然后砸碎,最終賣了5ETH_asch

今年8月,宏觀經濟學博士Tascha突然有了一個想法,她想要買一顆鉆石,做成一個NFT然后敲碎鉆石。當然這種做法并非是Tascha首創,此前就有藝術家將自己的畫制作成NFT后將原畫作燒毀.

1900/1/1 0:00:00
人工智能:范一飛談數字貨幣:既不完全按照賬戶去管理也不能照搬紙幣去要求_數字人

據新京報消息,中國人民銀行副行長范一飛表示,下一步,央行將堅持開放包容原則,從供需兩方面發力,組織持續優化數字人民幣底層業務能力和基礎技術平臺,積極對外賦能,共同打造數字人民幣生態體系.

1900/1/1 0:00:00
ads