火星链 火星链
Ctrl+D收藏火星链
首页 > 币安币 > 正文

FOR:慢雾:Force DAO 代币增发漏洞简析

作者:

时间:1900/1/1 0:00:00

链捕手消息,DeFi量化对冲基金ForceDAO项目的FORCE代币被大量增发,经慢雾安全团队分析发现:

在用户进行deposit操纵时,ForceDAO会为用户铸造xFORCE代币,并通过FORCE代币合约的transferFrom函数将FORCE代币转入ForceProfitSharing合约中。但FORCE代币合约的transferFrom函数使用了if-else逻辑来检查用户的授权额度,当用户的授权额度不足时transferFrom函数返回false,而ForceProfitSharing合约并未对其返回值进行检查。导致了deposit的逻辑正常执行,xFORCE代币被顺利铸造给用户,但由于transferFrom函数执行失败FORCE代币并未被真正充值进ForceProfitSharing合约中。最终造成FORCE代币被非预期的大量铸造的问题。

慢雾:Moonbirds的Nesting Contract相关漏洞在特定场景下才能产生危害:据慢雾区情报反馈,Moonbirds 发布安全公告,Nesting Contract 存在安全问题。当用户在 OpenSea 或者 LooksRare等NFT交易市场进行挂单售卖时。卖家不能仅通过执行 nesting(筑巢) 来禁止NFT售卖,而是要在交易市场中下架相关的 NFT 售卖订单。否则在某个特定场景下买家将会绕过 Moonbirds 在nesting(筑巢)时不能交易的限制。慢雾安全团队经过研究发现该漏洞需要在特定场景才能产生危害属于低风险。建议 Moonbirds 用户自行排查已 nesting(筑巢)的 NFT 是否还在 NTF 市场中上架,如果已上架要及时进行下架。更多的漏洞细节请等待 Moonbirds 官方的披露。[2022/5/30 3:50:23]

此漏洞发生的主要原因在于FORCE代币的transferFrom函数使用了`假充值`写法,但外部合约在对其进行调用时并未严格的判断其返回值,最终导致这一惨剧的发生。慢雾安全团队建议在对接此类写法的代币时使用require对其返回值进行检查,以避免此问题的发生。

慢雾:攻击者系通过“supply()”函数重入Lendf.Me合约 实现重入攻击:慢雾安全团队发文跟进“DeFi平台Lendf.Me被黑”一事的具体原因及防御建议。文章分析称,通过将交易放在bloxy.info上查看完整交易流程,可发现攻击者对Lendf.Me进行了两次“supply()”函数的调用,但是这两次调用都是独立的,并不是在前一笔“supply()”函数中再次调用“supply()”函数。紧接着,在第二次“supply()”函数的调用过程中,攻击者在他自己的合约中对Lendf.Me的“withdraw()”函数发起调用,最终提现。慢雾安全团队表示,不难分析出,攻击者的“withdraw()”调用是发生在transferFrom函数中,也就是在Lendf.Me通过transferFrom调用用户的“tokensToSend()”钩子函数的时候调用的。很明显,攻击者通过“supply()”函数重入了Lendf.Me合约,造成了重入攻击。[2020/4/19]

慢雾:Let's Encrypt软件Bug导致3月4日吊销 300 万个证书:Let's Encrypt由于在后端代码中出现了一个错误,Let's Encrypt项目将在撤销超过300万个TLS证书。详情是该错误影响了Boulder,Let's Encrypt项目使用该服务器软件在发行TLS证书之前验证用户及其域。慢雾安全团队提醒:数字货币行业有不少站点或内部系统为安全目的而使用 Let's Encrypt 自签证书,请及时确认是否受到影响。如有影响请及时更新证书,以免造成不可预知的风险。用户可查看原文链接在线验证证书是否受到影响。[2020/3/4]

标签:FORCEORCFORTRAFORCE价格orc币官网平台AmpleforthTRAMSV1 Token

币安币热门资讯
FLASH:以太坊清扫机器人肆虐,用户该如何挽救泄露地址中的资金?

本文发布于巴比特资讯,作者:HarryDenley,编译:洒脱喜。你是否遇到过这样的情况,当你发送一笔以太坊资金,然后就发现钱包里的钱立即被清空了,你可能被清扫器盯上了,这篇文章旨在帮你解决这个.

1900/1/1 0:00:00
ALCH:区块链开发平台 Alchemy 完成 8000 万美元 B 轮融资,估值超 5 亿美元

链捕手消息,区块链开发平台Alchemy?宣布完成8000万美元B轮融资,估值为5.05亿美元,由Coatue和Addition领投.

1900/1/1 0:00:00
ASH:以太坊黑暗森林中的一束光:读懂 MEV 竞赛下的博弈

本文发布于链闻,作者:曹一新,就职于HashKeyCapitalResearch。MEV研究组织Flashbots发布的3月报告称,其推出的第三方以太坊客户端版本MEV-geth已吸引拥有全网5.

1900/1/1 0:00:00
TAL:上周加密市场共发生25起公开融资事件 | 投融资周报

据链捕手不完全统计,4月19日到4月25日期间,区块链行业共发生25起公开投融资事件,方向主要集中在DeFi、NFT板块.

1900/1/1 0:00:00
LASH:分析称 Flashbots 已大幅降低以太坊上的 Gas 费至约 65 Gwei

链捕手消息,Flashbots已大幅降低以太坊上的gas费至约65Gwei。Flashbots是一家旨在降低由矿工可提取价值(MEV)对智能合约区块链构成负外部影响和存在风险的研发机构,倡导一个.

1900/1/1 0:00:00
COIN:不止Coinbase,这些原生加密上市公司也值得关注

本文系链捕手原创文章,作者为Echo,并经由谷昱编辑。Coinbase上市在即,作为行业里程碑事件,吸引了加密世界几乎所有人的关注.

1900/1/1 0:00:00