摘要:ForceDAO假充值攻击事件分析北京时间2021年4月4日,区块链项目?ForceDAO?发推提醒用户称「请停止在?Sushiswap?和?Uniswap?上的所有交易。」此前,FORCE?代币被大量增发,ForceDAO?表示「团队已意识到?xFORCE?合约漏洞,并确定了问题。xFORCE?合约上没有更多的资金可供利用。团队将在未来几个小时内提供报告和下一步行动。」
纽约大都会艺术博物馆将返还55万美元的FTX捐款:6月5日消息,纽约大都会艺术博物馆同意归还从FTX获得的数十万美元捐款。周五提交的法庭文件显示,如果大都会博物馆与FTX债务人达成的协议获得批准,该博物馆最终将返还55万美元。一项动议称,大都会希望将捐款返还给FTX债务人,并表示这是双方“诚信、公平谈判”的结果。这些捐款是由经营FTX US的West Realm Shires Services提供的。根据法庭文件,West Realm Shires Services最初于去年3月向大都会博物馆捐赠了30万美元,并于5月再次捐赠了25万美元。[2023/6/5 21:15:35]
400
Uniswap创始人:Uniswap不追踪IP,同时可防止第三方API追踪:11月24日消息,Uniswap创始人Hayden Adams在社交媒体发文表示,Uniswap不追踪IP,同时可防止用户被第三方API追踪。
Hayden表示,Uniswap官网已经明确关于用户隐私的问题,即Uniswap网页应用程序不追踪IP,并且可以防止用户IP地址被第三方API(如Infura和TRM Labs)使用代理服务器追踪。[2022/11/24 8:04:51]
CME BTC期货今晨跳空高开,形成266美元缺口:9月15日消息,CME BTC期货15分钟周期跳空高开报20130美元,上一交易K线最高报19864美元,形成一个266美元缺口,缺口范围:19864-20130美元。[2022/9/15 6:56:56]
SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。
一、攻击分析
通过初步分析,ForceDAO合约中的漏洞主要在xFORCE合约代码ForceProfitSharing.sol上。该漏洞令所有人都可以在没有FORCE的时候,铸造xFORCE。然后再将新铸造的xFORCE交换为FORCE。代码分析如下:合约地址为:0xe7f445b93eb9cdabfe76541cc43ff8de930a58e6首先看一下出问题的xFORCE铸币代码:
世界经济论坛:数字货币将重塑全球贸易格局:5月20日消息,随着社会进入数字时代,更多形式的数字货币为迅速推广自身而展开激烈的市场争夺,并可能从三个方面改变国际贸易:一是提高跨境支付效率。数字货币依赖去中心化账本,可以实现全天候几秒内发送与接收资金。二是为贸易融资提供另一种信用信息,有助于解决1.7万亿美元的全球贸易融资缺口。三是降低风险,数字货币可为希望参与全球贸易的一些国家提供替代支付方式。全球正迈入数字货币时代,国际贸易界需要做好准备,通过缩小数字鸿沟来抓住这个新时代的机遇。为了充分发挥数字货币的潜力,支付技术的进步需要与贸易数字化齐头并进。贸易政策制定者需要专注于建立合适的数字支付设施和法律基础,为未来创造贸易机会。各国还需要签署新型贸易协定,为数字货币的私人发行方提供市场准入,允许支付并协同运作,支持数据自由可信流动。(中国税务报)[2022/5/20 3:30:37]
可以看到合约在帮用户铸造xFORCE之后,然后将FORCE通过force.?transferFrom扣除用户的FORCE。但是并没有判断这个函数是否执行成功。我们继续查看FORCE合约中的transferFrom:合约地址:0xd017D2403d779A31e1fA2261e0D3997bCACad851
在这个合约中只判断了用户的额度,当额度不足时返回false,由于xFORCE的合约中没有做执行结果的判定,所以无论用户账户中是否有足够的额度,都会铸币成功。所以额度不足的用户会凭空得到一大笔xFORCE,而后再使用xFORCE的withdraw函数,就可以使用刚刚凭空得到的xFORCE来兑换合约中的FORCE。从而导致资金损失。
这个是其中一个攻击者的钱包地址:0x6807d7f7df53b7739f6438eabd40ab8c262c0aa8交易地址:0x37b44d5dbbe9c1dd75223e15977153234e8a4dbbbab2495cdcc531f44bf6e3d0
而后通过withdraw将得到的xFORCE转换为FORCE
二、SharkTeam安全建议
在本次攻击事件中,主要原因在于外部合约?xForce?在调用代币转让时未严格判断其返回值,导致用户可以随意铸币的情况发生。该漏洞是典型的“假充值”的合约漏洞,可以在关键逻辑上增加权限控制,在项目上线之前请专业的智能合约审计机构进行严格的审计,保障智能合约和数字资产安全。
标签:FORFORCEORCSWAPantiqueplatformMoonForceorchiduniswap币价格预测
背景随着最后一声钟声响起,Kusama的第9个插槽拍卖已经结束,在经历了起伏的一周后,Centrifuge的先行网Altair赢得了本轮倒数第二个插槽位置.
1900/1/1 0:00:00什么是LootLoot:一种文字NFTLoot是一种仅由文本组成的链上NFT,并作为原始电子游戏的基础。它是一个TXT文件,允许任何人铸造主题装备物品.
1900/1/1 0:00:00以推动人民币国际化使用和加速人民币资产国际化进程为目的,结合我国债券市场发展现状,借鉴沪港通、深港通、债券通实践经验,同时参考国际前沿探索.
1900/1/1 0:00:00据Leadership10月8日消息,尼日利亚中央银行敦促尼日利亚人接受其数字货币eNaira,称该货币操作安全、易于获取并且数字化,可以通过银行和其他支付服务提供商访问.
1900/1/1 0:00:00据Cryptopotato9月13日消息,美联储每7天发布一次资产负债表数据更新情况,最新数据显示,美联储的资产负债表现在达到令人难以置信的8.357万亿美元.
1900/1/1 0:00:00巴比特讯,9月25日,NFT游戏KnightWar完成200万美元A轮融资,Momentum6、x21Digital、AU21、VBCVentures、AndromedaResearch、One.
1900/1/1 0:00:00