摘要:ForceDAO假充值攻击事件分析北京时间2021年4月4日,区块链项目?ForceDAO?发推提醒用户称「请停止在?Sushiswap?和?Uniswap?上的所有交易。」此前,FORCE?代币被大量增发,ForceDAO?表示「团队已意识到?xFORCE?合约漏洞,并确定了问题。xFORCE?合约上没有更多的资金可供利用。团队将在未来几个小时内提供报告和下一步行动。」
香港金融管理局:基于套利或算法获得价值的稳定币将不被接受:金色财经报道,在即将出台的监管框架的主要原则中,香港金融管理局 (HKMA) 或不支持算法稳定币,而将要求所有稳定币发行方始终用基础储备资产支持其价值。据悉,在关键监管原则中强调了稳定币全额支持和按面值赎回的重要性,其中提到:“基于套利或算法获得价值的稳定币将不被接受,稳定币持有者应该能够在合理期限内将稳定币按面值兑换成参考法定货币。”(Cointelegraph)[2023/2/1 11:39:37]
400
印度板球传奇人物Sachin Tendulkar将在NFT平台Rario上发布独家NFT系列:10月20日消息,印度板球传奇人物Sachin Tendulkar成为专注于板球的NFT平台Rario的战略投资者,Tendulkar的生活和职业生涯的标志性时刻将以NFT的形式在Rario.com上独家提供。据悉,Rario此前曾与其他著名板球运动员建立了独家合作关系,包括AaronFinch、FafduPlessis、RishabhPant、VirenderSehwag和ZaheerKhan。此外,Rario也与多个板球委员会、主要赛事建立了合作关系,并拥有超过900名国际板球运动员的名册。(Coindesk)[2022/10/20 16:32:29]
SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。
百度区块链版权保护专利获授权:10月15日消息,据天眼查信息,百度在线网络技术(北京)有限公司“基于区块链的版权保护方法、装置、设备和介质”专利获授权。摘要显示,本申请具体实现方案为:检测到存在新生成的待保护数字作品,采用用户的区块链账户私钥进行签名,得到作品信息的私钥签名;其中,作品信息包括作品内容信息和创作时间;根据作品信息和私钥签名,生成版权保护事务请求,并发送至区块链网络以进行上链存储。本申请实施例能够实现无需用户操作,即可对新生成的数字作品立即进行版权保护,提高数字作品版权保护的便利性,降低版权保护的推广难度。[2022/10/15 14:29:00]
一、攻击分析
Yuga Labs为其即将推出的Otherside发布新的预告片:金色财经报道,Bored Ape Yacht Club的创建者Yuga Labs周四晚上为其即将推出的在线游戏 Otherside 发布了一个新的预告片,这暗示了一个陷入困境的背景故事。这段两分钟的短片在一个寺庙般的空间中打开,里面充满了Kodas的雕像--Yuga创造的神秘生物,生活在Otherside。蓝光在这些图像周围涓涓细流,但随后视频放大显示不祥的红光围绕并与蓝色混合。出现了一个背着剑的Koda。它在瓶子中收集了一些蓝光。
关于Kodas将在元宇宙中扮演的角色也知之甚少。一些 Otherdeed 土地 NFT 在其地段上包含 Koda,这些 NFT 的售价往往比非 Koda 同行高得多。[2022/9/3 13:06:17]
通过初步分析,ForceDAO合约中的漏洞主要在xFORCE合约代码ForceProfitSharing.sol上。该漏洞令所有人都可以在没有FORCE的时候,铸造xFORCE。然后再将新铸造的xFORCE交换为FORCE。代码分析如下:合约地址为:0xe7f445b93eb9cdabfe76541cc43ff8de930a58e6首先看一下出问题的xFORCE铸币代码:
可以看到合约在帮用户铸造xFORCE之后,然后将FORCE通过force.?transferFrom扣除用户的FORCE。但是并没有判断这个函数是否执行成功。我们继续查看FORCE合约中的transferFrom:合约地址:0xd017D2403d779A31e1fA2261e0D3997bCACad851
在这个合约中只判断了用户的额度,当额度不足时返回false,由于xFORCE的合约中没有做执行结果的判定,所以无论用户账户中是否有足够的额度,都会铸币成功。所以额度不足的用户会凭空得到一大笔xFORCE,而后再使用xFORCE的withdraw函数,就可以使用刚刚凭空得到的xFORCE来兑换合约中的FORCE。从而导致资金损失。
这个是其中一个攻击者的钱包地址:0x6807d7f7df53b7739f6438eabd40ab8c262c0aa8交易地址:0x37b44d5dbbe9c1dd75223e15977153234e8a4dbbbab2495cdcc531f44bf6e3d0
而后通过withdraw将得到的xFORCE转换为FORCE
二、SharkTeam安全建议
在本次攻击事件中,主要原因在于外部合约?xForce?在调用代币转让时未严格判断其返回值,导致用户可以随意铸币的情况发生。该漏洞是典型的“假充值”的合约漏洞,可以在关键逻辑上增加权限控制,在项目上线之前请专业的智能合约审计机构进行严格的审计,保障智能合约和数字资产安全。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。