[Force DAO 代币增发漏洞简析]据慢雾区消息,DeFi 量化对冲基金 Force DAO 项目的 FORCE 代币被大量增发。经慢雾安全团队分析发现: 在用户进行 deposit 操纵时,Force DAO 会为用户铸造 xFORCE 代币,并通过 FORCE 代币合约的 transferFrom 函数将 FORCE 代币转入 ForceProfitSharing 合约中。但 FORCE 代币合约的 transferFrom 函数使用了 if-else 逻辑来检查用户的授权额度,当用户的授权额度不足时 transferFrom 函数返回 false,而 ForceProfitSharing 合约并未对其返回值进行检查。导致了 deposit 的逻辑正常执行,xFORCE 代币被顺利铸造给用户,但由于 transferFrom 函数执行失败 FORCE 代币并未被真正充值进 ForceProfitSharing 合约中。最终造成 FORCE 代币被非预期的大量铸造的问题。 此漏洞发生的主要原因在于 FORCE 代币的 transferFrom 函数使用了`假充值`写法,但外部合约在对其进行调用时并未严格的判断其返回值,最终导致这一惨剧的发生。慢雾安全团队建议在对接此类写法的代币时使用 require 对其返回值进行检查,以避免此问题的发生。
加密浏览器Brave整合PhishFort开源技术防止加密钓鱼攻击:9月9日早间,加密浏览器Brave官方发推宣布,已整合网络安全公司PhishFort的开源解决方案,防止网络钓鱼攻击。此后Brave将检测加密局,并警告用户有关的可疑域名。[2020/9/9]
Lendf.Me遭受攻击,dForce锁仓价值暴跌至6美元:DeFi贷款协议Lendf.Me今日遭受攻击,DeFi Pulse数据显示,过去24小时内,dForce锁仓资产美元价值下跌100%至6美元,而此前的锁仓总价值超过2490万美元。
据此前报道,Lendf.Me证实在北京时间8点45分、区块高度9899681遭受攻击,目前技术团队已经定位问题,并在网页端建议所有用户停止往借贷协议存入资产。慢雾安全团队分析发现与昨日攻击Uniswap手法类似,极有可能是同一伙人所为。(The Block)[2020/4/19]
动态 | Fortress提高报价,愿以1300美元一枚BTC购买Mt.Gox债权:金色财经报道,Fortress Investment Group已提高了面向Mt.Gox交易所受害者的报价。Fortress提出以每比特币1300美元,或在黑客入侵时用户账户价值的88%作为报价。[2020/2/20]
郑重声明: Force DAO 代币增发漏洞简析版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。