摘要:ForceDAO假充值攻击事件分析北京时间2021年4月4日,区块链项目?ForceDAO?发推提醒用户称「请停止在?Sushiswap?和?Uniswap?上的所有交易。」此前,FORCE?代币被大量增发,ForceDAO?表示「团队已意识到?xFORCE?合约漏洞,并确定了问题。xFORCE?合约上没有更多的资金可供利用。团队将在未来几个小时内提供报告和下一步行动。」
?OpenAI:将在未来几个月推出ChatGPT企业版订阅服务:金色财经报道,OpenAI表示,正在研究推出新企业版ChatGPT订阅服务,主要针对那些希望更多掌控数据的专业人士以及寻求管理终端用户的企业。“我们计划在未来几个月内推出企业版”,该公司还表示,已经引入关闭ChatGPT聊天记录的功能。(鞭牛士)[2023/4/30 14:35:09]
400
CZ回顾2022年:过去一年造访33国,Binance任何时间都有100%储备金:12月28日消息,Binance 首席执行官 CZ 近期回答社区提问并回顾了即将过去的 2022 年。CZ 首先特别澄清自己肯定不是中本聪,他透露自己在过去一年中造访了 33 个国家和当地监管机构。CZ 还表示,即使所有用户同时发起提款 Binance 也不会破产,Binance 每一个加密货币在任何时间点都有 100% 储备金,所以用户可以随时随地取现。
在谈到如何规避类似 FTX 的风险时,CZ 称 Binance 首先要确保不会陷入 FTX 那种境地,任何人转移数十亿美元用户资金都无法进行风控,永远不要触碰用户的东西,保持公开透明,不要走捷径。[2022/12/28 22:12:26]
SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。
外媒:马斯克解雇推特数据工程团队为不实消息:10月29日消息,据外媒报道,马斯克解雇推特数据工程师团队为不实消息,已确认名为“Rahul Ligma”的员工并未收录在推特的内部邮件系统中,且LinkedIn上也未收录该名员工的相关信息。
此前消息,CNBC于今日早些时候发文报道称,马斯克已经解雇了推特的数据工程师团队。此后报道该新闻的记者DeirdreBosa也发文澄清:我们无法确认他们是真实的员工,或者该公司今天解雇了任何人。(TheVerge)[2022/10/29 11:55:30]
一、攻击分析
通过初步分析,ForceDAO合约中的漏洞主要在xFORCE合约代码ForceProfitSharing.sol上。该漏洞令所有人都可以在没有FORCE的时候,铸造xFORCE。然后再将新铸造的xFORCE交换为FORCE。代码分析如下:合约地址为:0xe7f445b93eb9cdabfe76541cc43ff8de930a58e6首先看一下出问题的xFORCE铸币代码:
Uniswap将通过集成sudoswap实现NFT交易:7月23日消息,Uniswap产品负责人在Twitter上表示,Uniswap将通过集成sudoswap实现NFT交易。
此前报道,NFT交易平台sudoswap公开发布NFT市场协议sudoAMM,用户可以创建流动性池并根据价格曲线逐步买卖NFT、为买卖NFT的流动性池提供流动性以赚取费用、直接以固定价格上架他们的NFT。此外LP还可以完全控制流动性池的定价,并可以随时进行调整。[2022/7/23 2:33:09]
可以看到合约在帮用户铸造xFORCE之后,然后将FORCE通过force.?transferFrom扣除用户的FORCE。但是并没有判断这个函数是否执行成功。我们继续查看FORCE合约中的transferFrom:合约地址:0xd017D2403d779A31e1fA2261e0D3997bCACad851
在这个合约中只判断了用户的额度,当额度不足时返回false,由于xFORCE的合约中没有做执行结果的判定,所以无论用户账户中是否有足够的额度,都会铸币成功。所以额度不足的用户会凭空得到一大笔xFORCE,而后再使用xFORCE的withdraw函数,就可以使用刚刚凭空得到的xFORCE来兑换合约中的FORCE。从而导致资金损失。
这个是其中一个攻击者的钱包地址:0x6807d7f7df53b7739f6438eabd40ab8c262c0aa8交易地址:0x37b44d5dbbe9c1dd75223e15977153234e8a4dbbbab2495cdcc531f44bf6e3d0
而后通过withdraw将得到的xFORCE转换为FORCE
二、SharkTeam安全建议
在本次攻击事件中,主要原因在于外部合约?xForce?在调用代币转让时未严格判断其返回值,导致用户可以随意铸币的情况发生。该漏洞是典型的“假充值”的合约漏洞,可以在关键逻辑上增加权限控制,在项目上线之前请专业的智能合约审计机构进行严格的审计,保障智能合约和数字资产安全。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。