撰稿:知道创宇区块链安全实验室根据社区消息,ForceDAO项目资金库被黑客攻击。知道创宇区块链安全实验室第一时间跟进分析发现,ForceDAO项目资金库被清空主要是由于其项目xFORCE代币被大量增发导致。以下为分析详情,供大家研究。知道创宇区块链安全实验室分析后发现:用户在通过ForceProfitSharing合约中调用deposit函数进行充值时,会通过其项目代币的transferFrom函数将对应数量的FORCE代币充值进ForceProfitSharing合约,如下图所示:
Beosin:QANplatform跨链桥遭受黑客攻击,涉及金额约189万美元:10月11日消息,据Beosin EagleEye Web3安全预警与监控平台监测显示,QANplatform跨链桥项目遭受黑客攻击。攻击交易为以下两笔0xf93047e41433d73ddf983cfa008aeb356ec89803c0a92b0e97ccdc6c42a13f51(bsc),
0x048a1a71fd41102c72427cc1d251f4ecbf70558562564306e919f66fd451fe82(eth)。
Beosin安全团队分析发现攻击者首先使用0x68e8198d5b3b3639372358542b92eb997c5c314地址(因为0x68e819是创建跨链桥地址,所以该地址应该属于项目方。)调用跨链桥合约中的bridgeWithdraw函数提取QANX代币,然后把QANX代币兑换为相应平台币。存放在攻击者地址上(0xF163A6cAB228085935Fa6c088f9Fc242AFD4FB11)。目前被盗资金中还存放在攻击者地址,Beosin安全团队将持续跟踪。Beosin Trace将对被盗资金进行持续追踪。[2022/10/11 10:31:06]
通过分析其FORCE代币合约发现其transferFrom函数实现存在假充值风险,即使用if…else写法来进行条件判断,如下图所示:代币合约地址:https://etherscan.io/address/0x6807d7f7df53b7739f6438eabd40ab8c262c0aa8#code
Baillie Gifford基金向Blockchain.com投资1亿美元:据官方消息,加密货币钱包Blockchain.com首席执行官和联合创始人PeterSmith表示,Blockchain.com在3月份完成的3亿美元C轮融资中,老牌投资基金BaillieGifford投资了1亿美元。BaillieGifford是一家有着110年历史的老牌投资基金,总部位于苏格兰爱丁堡。BaillieGifford也是特斯拉、谷歌、亚马逊和Airbnb等的早期投资者,截至2020年6月,管理和咨询资产总值达2,620亿英镑。此前报道,Blockchain.com于3月份完成3亿美元融资,DSTGlobal、LightspeedVenturePartners和VYCapital领投,该轮融资后公司估值达到52亿美元。[2021/4/21 20:43:00]
dForce杨民道:DeFi的产生从4个方面重塑了金融领域:12月23日,在深链财经主办、Thor Chain和HOLD协办的“2020年非共识大会暨DeepChain年度影响力颁奖典礼”上,dForce创始人杨民道发表题为题为“DeFi如何重塑金融”的主题演讲。杨民道表示,DeFi从4个方面重塑了金融领域:第一是产生完全新的货币形态,不在央行的资产负债表体现;第二是统一、无需准入的平行货币市场和即时、全球结算网络;第三是DeFi+, 值得注意的是,DeFi+更像一个横切面似的改革,而非垂直改革。最后是形成一个无国界、非许可的、急速迭代的平行金融网络。[2020/12/24 16:22:29]
transferFrom函数实际调用doTransfer函数进行代币转账,该函数中转账条件未使用硬判断,返回false导致实际转账条件不满足时,代币并未被实际转账进入ForceProfitSharing合约,从而导致xFORCE代币被大量铸币。
菲律宾SEC正在收集Forsage代表相关信息以提起申诉:在被被菲律宾证券交易委员会认定为庞氏局后,Forsage仍然是第二受欢迎的以太坊DApp。截至8月6日,尽管在dappstat.com排名中被标记为“高风险”,Forsage仍拥有39万名用户,每24小时311万美元的营业额。菲律宾证券交易委员会接受采访时表示,招募其他人加入该非法计划的任何Forsage代表将得到相应处理。SEC执法和投资者保护部门主管Oliver Leonardo也表示,正在收集有关这些代表的信息,以便正式提起申诉。(Cointelegraph)[2020/8/6]
创宇区块链安全实验室发现,从该链接开始,xFORCE合约的_totalSupply变量状态开始出现交易异常:
最终导致如下图所示的异常铸币数量:
创宇区块链安全实验室再次警惕项目方进行代币合约开发时,使用正确的代币转账逻辑,谨防假充值攻击带来的异常程序执行。知道创宇唯一指定存证平台:www.attest.im联系我们:blockchain/img/20230508232927959983/6.jpg "/>
微博@知道创宇区块链实验室https://weibo.com/BlockchainLab知乎@知道创宇区块链安全实验室https://www.zhihu.com/org/zhi-dao-chuang-yu-qu-kuai-lian-an-quan-shi-yan-shiTwitter@KS_Blockchainhttps://twitter.com/KS_Blockchain
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。