LAR:百密一疏：Force DAO假充值攻擊事件分析

摘要:ForceDAO假充值攻擊事件分析北京時間2021年4月4日，區塊鏈項目?ForceDAO?發推提醒用戶稱「請停止在?Sushiswap?和?Uniswap?上的所有交易。」此前，FORCE?代幣被大量增發，ForceDAO?表示「團隊已意識到?xFORCE?合約漏洞，并確定了問題。xFORCE?合約上沒有更多的資金可供利用。團隊將在未來幾個小時內提供報告和下一步行動。」

數據：某聰明錢地址目前浮盈328萬美元:金色財經報道，據鏈上分析師余燼監測，某聰明錢地址在7月22日至8月8日期間使用3928枚ETH(價值721萬美元)，買入4種代幣，目前全部浮盈，浮盈金額為328萬美元：

購買了23,358,078枚RLB，成本為262萬美元，平均購入價為0.112美元。目前浮盈194萬美元，漲幅為74%。

購買了17,612枚UNIBOT，成本為250萬美元，平均購入價為141.7美元。目前浮盈82萬美元，漲幅為33%。

購買了21,740,386枚BITCOIN，成本為206萬美元，平均購入價為0.095美元。目前浮盈52萬美元，漲幅為25%。

購買了88,443枚MEVFree，成本為25,000美元，平均購入價為0.29美元。目前浮盈5,000美元，漲幅為20%。

目前這些代幣全部尚未出售，0x51e地址在買入后將代幣轉移存儲在兩個地址：0xc49、0xa54。[2023/8/13 16:23:01]

400

Instagram準備在夏季發布與推特競爭的產品:金色財經報道，Meta旗下的Instagram計劃發布一款基于文本的應用，與推特展開競爭。據知情人士透露，該公司目前正在與名人和有影響力的人士一起測試這個項目。據其中一位知情人士透露，幾個月來，選定的創作者一直可以秘密使用該軟件。知名的數字媒體營銷專家和企業戰略家、加州大學洛杉磯分校兼任教授Lia Haberman表示，這款應用將獨立于Instagram，但允許人們連接賬戶，最早可能在6月推出。[2023/5/20 15:14:52]

速匯金宣布支持Stellar Aid Assist以提供USDC等穩定幣救濟金服務:12月17日消息，全球支付巨頭速匯金MoneyGram在社交媒體宣布支持Stellar Foundation的Stellar Aid Assist以提供USDC等穩定幣救濟金服務。Stallar Aid Assit也是目前首個以區塊鏈為動力的援助支付系統，可以快速、經濟、高效地向處于危機中的個人提供救濟資金，支持將數字美元和美元穩定幣USDC保存在手機的數字錢包中并兌換成本地貨幣。[2022/12/17 21:50:59]

SharkTeam第一時間對此事件進行了攻擊分析和技術分析，并總結了安全防范手段，希望后續的區塊鏈項目可以引以為戒，共筑區塊鏈行業的安全防線。

數字貨幣概念股再度活躍:10月10日消息，數字貨幣概念股再度活躍，中科金財漲停，天陽科技、證通電子漲超6%，長亮科技、信安世紀、古鰲科技等漲幅居前。[2022/10/10 10:29:11]

一、攻擊分析

通過初步分析，ForceDAO合約中的漏洞主要在xFORCE合約代碼ForceProfitSharing.sol上。該漏洞令所有人都可以在沒有FORCE的時候，鑄造xFORCE。然后再將新鑄造的xFORCE交換為FORCE。代碼分析如下：合約地址為：0xe7f445b93eb9cdabfe76541cc43ff8de930a58e6首先看一下出問題的xFORCE鑄幣代碼：

可以看到合約在幫用戶鑄造xFORCE之后，然后將FORCE通過force.?transferFrom扣除用戶的FORCE。但是并沒有判斷這個函數是否執行成功。我們繼續查看FORCE合約中的transferFrom：合約地址：0xd017D2403d779A31e1fA2261e0D3997bCACad851

在這個合約中只判斷了用戶的額度，當額度不足時返回false,由于xFORCE的合約中沒有做執行結果的判定，所以無論用戶賬戶中是否有足夠的額度，都會鑄幣成功。所以額度不足的用戶會憑空得到一大筆xFORCE，而后再使用xFORCE的withdraw函數，就可以使用剛剛憑空得到的xFORCE來兌換合約中的FORCE。從而導致資金損失。

這個是其中一個攻擊者的錢包地址：0x6807d7f7df53b7739f6438eabd40ab8c262c0aa8交易地址：0x37b44d5dbbe9c1dd75223e15977153234e8a4dbbbab2495cdcc531f44bf6e3d0

而后通過withdraw將得到的xFORCE轉換為FORCE

二、SharkTeam安全建議

在本次攻擊事件中，主要原因在于外部合約?xForce?在調用代幣轉讓時未嚴格判斷其返回值，導致用戶可以隨意鑄幣的情況發生。該漏洞是典型的“假充值”的合約漏洞，可以在關鍵邏輯上增加權限控制，在項目上線之前請專業的智能合約審計機構進行嚴格的審計，保障智能合約和數字資產安全。

Tags：ORCFORFORCELARORCL5BFORM幣FORCE幣collar幣最新消息

狗狗幣價格