ForceDAO 项目 xFORCE 大量增发事件简析

撰稿：知道创宇区块链安全实验室根据社区消息，ForceDAO项目资金库被黑客攻击。知道创宇区块链安全实验室第一时间跟进分析发现，ForceDAO项目资金库被清空主要是由于其项目xFORCE代币被大量增发导致。以下为分析详情，供大家研究。知道创宇区块链安全实验室分析后发现：用户在通过ForceProfitSharing合约中调用deposit函数进行充值时，会通过其项目代币的transferFrom函数将对应数量的FORCE代币充值进ForceProfitSharing合约，如下图所示：

Telegram 应用内加密货币 P2P 交易平台 Chatex 获 Polygon 旗下 DefiForAll 基金投资:10月25日消息，Telegram 应用内加密货币 P2P 交易平台 Chatex 宣布获 Polygon 旗下 DefiForAll 基金投资，投资金额未披露。Chatex 将与 Polygon 集成以提高交易处理速度，Polygon 则将就 Chatex 的加密银行（Cryptobank）发展战略向 Chatex 提供建议并协助该项目在全球范围内的营销。[2021/10/25 20:55:03]

通过分析其FORCE代币合约发现其transferFrom函数实现存在假充值风险，即使用if…else写法来进行条件判断，如下图所示：代币合约地址：https://etherscan.io/address/0x6807d7f7df53b7739f6438eabd40ab8c262c0aa8#code

dForce创始人杨民道：仍在集中精力处理可能扭转结局的紧迫问题:dForce创始人杨民道昨夜23:59如期于Medium发文更新“Lendf.Me被黑”一事的处理进展。杨民道表示：“在过去的24小时里，我们一直在不停地工作。我将在以后的帖子中详细介绍我们采取的所有行动。然而，此时的局势仍在迅速演变，我需要集中精力去处理那些可能扭转结局的紧迫问题。”此外，杨民道还承诺将在24小时后再次发文更新事态进展，具体时间为北京时间4月21日23:59。[2020/4/21]

动态 | 得克萨斯州监管机构要求Forex and Bitcoin Trader停止发布误导性加密投资广告:据CoinDesk消息，得克萨斯州的官员已经提交了一封终止函，指控一家名为Forex and Bitcoin Trader的加密货币推广商在Craigslist上发布误导性广告。根据8月7日发表的一份声明，这家总部位于纽约的公司宣称，投资两周即可获得900%的收益。该公司还声称自己是一家有执照的经纪自营商，拥有保单和足够的资金保证回报。 但调查人员发现，该公司既没有在州证券专员处登记为交易商，也没有登记为代理人。此外，该公司没有提供有关其所谓保险单的资料。[2019/8/9]

transferFrom函数实际调用doTransfer函数进行代币转账，该函数中转账条件未使用硬判断，返回false导致实际转账条件不满足时，代币并未被实际转账进入ForceProfitSharing合约，从而导致xFORCE代币被大量铸币。

动态 | EOS海外节点EOS内罗毕正式加入EOSForce主网:据EOS原力报道，非洲最大的EOSIO社区EOS内罗毕此次正式加入EOSForce主网，将助力于推动EOSForce主网治理的全球化，并将对EOSForce的国际社区发展做出贡献。[2019/1/24]

创宇区块链安全实验室发现，从该链接开始，xFORCE合约的_totalSupply变量状态开始出现交易异常：

最终导致如下图所示的异常铸币数量：

创宇区块链安全实验室再次警惕项目方进行代币合约开发时，使用正确的代币转账逻辑，谨防假充值攻击带来的异常程序执行。知道创宇唯一指定存证平台：www.attest.im联系我们：blockchain/img/20230508232927959983/6.jpg "/>

微博@知道创宇区块链实验室https://weibo.com/BlockchainLab知乎@知道创宇区块链安全实验室https://www.zhihu.com/org/zhi-dao-chuang-yu-qu-kuai-lian-an-quan-shi-yan-shiTwitter@KS_Blockchainhttps://twitter.com/KS_Blockchain

标签：FORFORCEORCCHAGFORCEdforce币最新消息ORCACHARIX币

ETH热门资讯