摘要:ForceDAO假充值攻击事件分析北京时间2021年4月4日,区块链项目?ForceDAO?发推提醒用户称「请停止在?Sushiswap?和?Uniswap?上的所有交易。」此前,FORCE?代币被大量增发,ForceDAO?表示「团队已意识到?xFORCE?合约漏洞,并确定了问题。xFORCE?合约上没有更多的资金可供利用。团队将在未来几个小时内提供报告和下一步行动。」
Raft将稳定币R的抵押率要求从110%提升至120%:6月13日消息,稳定币协议Raft宣布,考虑到市场波动性,将把稳定币R的抵押率要求从110%提升至120%。[2023/6/14 21:34:52]
400
SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。
币安亚太区负责人:对币安的全面审计仍需要一定时间:金色财经报道,币安亚太区负责人Leon Foong表示,币安希望聘请审计师来审计币安的整体资产负债表,但大型会计师事务所仍在对行业进行了解,且该行业缺乏应对价格波动的一致标准。
此外,Leon Foong还表示,实现对币安的全面审计可能需要很长时间,一方面对加密货币交易所的审计并非传统会计师事务所的核心竞争力,另外如果审计出现错误将会招致更多审查。[2023/2/8 11:54:38]
一、攻击分析
通过初步分析,ForceDAO合约中的漏洞主要在xFORCE合约代码ForceProfitSharing.sol上。该漏洞令所有人都可以在没有FORCE的时候,铸造xFORCE。然后再将新铸造的xFORCE交换为FORCE。代码分析如下:合约地址为:0xe7f445b93eb9cdabfe76541cc43ff8de930a58e6首先看一下出问题的xFORCE铸币代码:
LPR报价连续四个月“按兵不动” 明年初或为调降时间窗口:12月21日消息,LPR报价连续四个月保持不动。多位接受记者采访的业内专家认为,尽管12月份LPR报价维持前值不变,但不会影响实体经济融资成本下行势头,预计年底新发放企业贷款加权平均利率将续创历史新低,新发放居民房贷利率也有望延续小幅下行势头。整体上看,预计2023年1月份或2月份,是LPR调降的时间窗口。(证券时报)(金十数据APP)[2022/12/21 21:57:29]
国新办发布《携手构建网络空间命运共同体》白皮书:对区块链等新技术加强管理:11月7日消息,国新办今日发布《携手构建网络空间命运共同体》白皮书。白皮书介绍了新时代中国互联网发展和治理理念与实践,分享中国推动构建网络空间命运共同体的积极成果,展望网络空间国际合作前景。其中提到加强新技术新应用治理。不断完善适应人工智能、大数据、云计算等新技术新应用的制度规则,对区块链、算法推荐服务等加强管理,依法规制算法滥用、非法处理个人信息等行为,推动各类新技术新应用更好地服务社会、造福人民。[2022/11/7 12:27:40]
可以看到合约在帮用户铸造xFORCE之后,然后将FORCE通过force.?transferFrom扣除用户的FORCE。但是并没有判断这个函数是否执行成功。我们继续查看FORCE合约中的transferFrom:合约地址:0xd017D2403d779A31e1fA2261e0D3997bCACad851
在这个合约中只判断了用户的额度,当额度不足时返回false,由于xFORCE的合约中没有做执行结果的判定,所以无论用户账户中是否有足够的额度,都会铸币成功。所以额度不足的用户会凭空得到一大笔xFORCE,而后再使用xFORCE的withdraw函数,就可以使用刚刚凭空得到的xFORCE来兑换合约中的FORCE。从而导致资金损失。
这个是其中一个攻击者的钱包地址:0x6807d7f7df53b7739f6438eabd40ab8c262c0aa8交易地址:0x37b44d5dbbe9c1dd75223e15977153234e8a4dbbbab2495cdcc531f44bf6e3d0
而后通过withdraw将得到的xFORCE转换为FORCE
二、SharkTeam安全建议
在本次攻击事件中,主要原因在于外部合约?xForce?在调用代币转让时未严格判断其返回值,导致用户可以随意铸币的情况发生。该漏洞是典型的“假充值”的合约漏洞,可以在关键逻辑上增加权限控制,在项目上线之前请专业的智能合约审计机构进行严格的审计,保障智能合约和数字资产安全。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。