火星链 火星链
Ctrl+D收藏火星链

ORC:慢雾:DeFi 量化对冲基金 Force DAO 项目 FORCE 代币被大量增发

作者:

时间:1900/1/1 0:00:00

链闻消息,据慢雾区消息,DeFi量化对冲基金ForceDAO项目的FORCE代币被大量增发。经慢雾安全团队分析发现,在用户进行deposit操纵时,ForceDAO会为用户铸造xFORCE代币,并通过FORCE代币合约的transferFrom函数将FORCE代币转入ForceProfitSharing合约中。但FORCE代币合约的transferFrom函数使用了if-else逻辑来检查用户的授权额度,当用户的授权额度不足时transferFrom函数返回false,而ForceProfitSharing合约并未对其返回值进行检查。导致了deposit的逻辑正常执行,xFORCE代币被顺利铸造给用户,但由于transferFrom函数执行失败FORCE代币并未被真正充值进ForceProfitSharing合约中。最终造成FORCE代币被非预期的大量铸造的问题。此漏洞发生的主要原因在于FORCE代币的transferFrom函数使用了「假充值」写法,但外部合约在对其进行调用时并未严格的判断其返回值,最终导致这一惨剧的发生。慢雾安全团队建议在对接此类写法的代币时使用require对其返回值进行检查,以避免此问题的发生。ForceDAO对此表示,「团队已意识到xFORCE合约漏洞,xFORCE合约上没有更多的资金可供利用。所有其他的资金库都是安全的。团队将在未来几个小时内提供报告和下一步行动。」

慢雾:PancakeBunny被黑是一次典型利用闪电贷操作价格的攻击:币安智能链上DeFi收益聚合器PancakeBunny项目遭遇闪电贷攻击,慢雾安全团队解析:这是一次典型的利用闪电贷操作价格的攻击,其关键点在于WBNB-BUNNYLP的价格计算存在缺陷,而BunnyMinterV2合约铸造的BUNNY数量依赖于此存在缺陷的LP价格计算方式,最终导致攻击者利用闪电贷操控了WBNB-BUNNY池子从而拉高了LP的价格,使得BunnyMinterV2合约铸造了大量的BUNNY代币给攻击者。慢雾安全团队建议,在涉及到此类LP价格计算时可以使用可信的延时喂价预言机进行计算或者参考此前AlphaFinance团队。[2021/5/20 22:24:55]

动态 | 慢雾:Cryptopia被盗资金发生转移:据慢雾科技反(AML)系统监测显示,Cryptopia攻击者分两次转移共20,843枚ETH,价值超380万美元。目前资金仍停留在 0x90d78A49 和 0x6D693560 开头的两个新地址,未向交易所转移。据悉,今年早些时候加密货币交易所Cryptopia遭受了黑客攻击,价值超过1600万美元的以太坊和ERC-20代币被盗。[2019/11/17]

动态 | 慢雾:10 月发生多起针对交易所的提币地址劫持替换攻击:据慢雾区块链威胁情报(BTI)系统监测及慢雾 AML 数据显示,过去的 10 月里发生了多起针对数字货币交易所的提币地址劫持替换攻击,手法包括但不限于:第三方 JS 恶意代码植入、第三方 NPM 模块污染、Docker 容器污染。慢雾安全团队建议数字货币交易所加强风控措施,例如:1. 密切注意第三方 JS 链接风险;2. 提币地址应为白名单地址,添加时设置双因素校验,用户提币时从白名单地址中选择,后台严格做好校验。此外,也要多加注意内部后台的权限控制,防止内部作案。[2019/11/1]

标签:ORCFORFORCEUNNFORCE价格blocplatformdForcePEPERUNNER币

欧易okex官网热门资讯
POL:做好国企蒙顶皇茶茶科技这篇文章,京东、茶链在行动

察看武夷山春茶长势时曾经指出,要把茶文化、茶产业、茶科技这篇文章做好。雅安文旅·蒙顶皇茶,作为国有企业积极践行国家政策导向示范军的社会担当,一直走在科技赋能产业的前沿.

1900/1/1 0:00:00
BOO:Facebook发言人:5.33亿Facebook用户数据被泄露为2年前的旧消息

据TheRecord报道,5.33亿Facebook用户的个人数据在一个黑客论坛上被泄露,包括用户的个人信息.

1900/1/1 0:00:00
COM:XT关于DAO交易大赛奖励发放的公告

尊敬的XT用户:XT.com交易所于2021年3月9日16:16—2021年3月24日00:00举办的“DAO交易大赛”已圆满结束.

1900/1/1 0:00:00
区块链:媒体:蜂鸟矿机被深圳南山区法院列为被执行人,执行标的123.5085万元

据天府财经网消息,近日,深圳市致宸信息科技有限公司被深圳南山区法院列为被执行人,执行标的123.5085万元。这是蜂鸟矿机自1月中旬以来第4次被强制执行,4次累计被执行金额258.69万元.

1900/1/1 0:00:00
GLO:BKEX Global 关于上线 VOX(VOX Finance)的公告

尊敬的用户:????????BKEXGlobal即将上线VOX,详情如下:上线交易对:VOX/USDT??币种类型:ERC20??充值功能开放时间:2021年4月3日20:00交易功能开放时间:.

1900/1/1 0:00:00
LBank:LBank蓝贝壳关于开启充值HOPR瓜分5,000USDT的公告

尊敬的LBank蓝贝壳用户:为庆祝HOPR上新,LBank蓝贝壳将启动「充值HOPR瓜分5,000USDT」活动.

1900/1/1 0:00:00