摘要:ForceDAO假充值攻击事件分析北京时间2021年4月4日,区块链项目?ForceDAO?发推提醒用户称「请停止在?Sushiswap?和?Uniswap?上的所有交易。」此前,FORCE?代币被大量增发,ForceDAO?表示「团队已意识到?xFORCE?合约漏洞,并确定了问题。xFORCE?合约上没有更多的资金可供利用。团队将在未来几个小时内提供报告和下一步行动。」
Yuga Labs:2nd Trip本周末开启,每个访客钱包会生成1个唯一16位密码:金色财经报道,Yuga Labs在其博客上透露,第二次彼岸之旅2nd Trip定于美国东部标准时间3月25日星期六中午12点开始,进入Otherside的队列将于美国东部时间上午11:30开放。进入2nd Trip的的Voyagers需要在美东时间3月25日早上获取访客密码,访客密码将于2023年3月24日美国东部时间上午11点30分/世界标准时间下午3点30分开始生成。Yuga Labs将为连接到2nd Trip的每个钱包生成1个唯一的16位访客密码,每个生成的密码只能兑换一次。访客可以在美国东部时间3月24日上午11:30/ UTC时间下午3:30,访客必须连接钱包,一旦密码被兑换,那么只有关联钱包才能使用访问2nd Trip,访客访问权限不可转让。[2023/3/24 13:25:11]
400
法国护肤品牌娇韵诗在Magic Eden上推出第一个325 NFT系列:金色财经报道,法国护肤品牌Clarins Precious将推出第一个 325 NFT 系列和 AR 体验,用户可以拥有并在数字收藏中展示。据悉,该NFT系列由ALTAVA Group 和两位极具影响力的女性数字艺术家 Ada Sokó? 和 Ines Alpha 共同创作。
Clarins Precious NFT Collection 将于 3 月 7 日发售,并使用polygon和Magic Eden 市场。该系列共有 325 件艺术品,通过以沙漏为中心的动画图像讲述娇韵诗珍贵的故事。[2023/3/9 12:50:52]
周鸿祎:无论是元宇宙还是 Web3,一定要找到契合的场景:金色财经报道,11月9日,2022年世界互联网大会乌镇峰会开幕。360创始人周鸿祎在峰会期间接受新京报贝壳财经记者采访时表示,无论是元宇宙还是Web3,一定要找到契合的场景,脱离了具体场景空谈改变世界“太虚”,要把元宇宙和Web3、产业互联网发展、数字孪生结合起来比较靠谱。此外,他“希望明年的世界互联网大会乌镇峰会能够在元宇宙空间里举办。”[2022/11/10 12:43:08]
SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。
Velodrome:前团队成员从项目钱包中盗窃的35万美元资金已追回:8月14日消息,基于Optimism的交易和流动性市场Velodrome宣布,已确认一名前团队成员是8月初发生的35万美元盗窃案的责任人,并且资金已经追回。
此前报道,Velodrome团队成员从项目钱包中盗窃35万美元。(The Block)[2022/8/14 12:24:18]
一、攻击分析
通过初步分析,ForceDAO合约中的漏洞主要在xFORCE合约代码ForceProfitSharing.sol上。该漏洞令所有人都可以在没有FORCE的时候,铸造xFORCE。然后再将新铸造的xFORCE交换为FORCE。代码分析如下:合约地址为:0xe7f445b93eb9cdabfe76541cc43ff8de930a58e6首先看一下出问题的xFORCE铸币代码:
可以看到合约在帮用户铸造xFORCE之后,然后将FORCE通过force.?transferFrom扣除用户的FORCE。但是并没有判断这个函数是否执行成功。我们继续查看FORCE合约中的transferFrom:合约地址:0xd017D2403d779A31e1fA2261e0D3997bCACad851
在这个合约中只判断了用户的额度,当额度不足时返回false,由于xFORCE的合约中没有做执行结果的判定,所以无论用户账户中是否有足够的额度,都会铸币成功。所以额度不足的用户会凭空得到一大笔xFORCE,而后再使用xFORCE的withdraw函数,就可以使用刚刚凭空得到的xFORCE来兑换合约中的FORCE。从而导致资金损失。
这个是其中一个攻击者的钱包地址:0x6807d7f7df53b7739f6438eabd40ab8c262c0aa8交易地址:0x37b44d5dbbe9c1dd75223e15977153234e8a4dbbbab2495cdcc531f44bf6e3d0
而后通过withdraw将得到的xFORCE转换为FORCE
二、SharkTeam安全建议
在本次攻击事件中,主要原因在于外部合约?xForce?在调用代币转让时未严格判断其返回值,导致用户可以随意铸币的情况发生。该漏洞是典型的“假充值”的合约漏洞,可以在关键逻辑上增加权限控制,在项目上线之前请专业的智能合约审计机构进行严格的审计,保障智能合约和数字资产安全。
巴比特讯,9月23日,互联网企业第九城市、以太坊扩展和基础设施开发平台Polygon,以及分布式存储协议IPFS和Filecoin的开发及运营商ProtocolLabs联合宣布,三方已经达成生态合作,将整合各自资源及优势.
1900/1/1 0:00:00据KoreaTimes消息,韩国资产管理公司KBAssetManagement周一推出了该国首只专注于区块链的共同投资基金:KB全球数字链经济基金.
1900/1/1 0:00:00有了LootNFT,不妨试试这些衍生项目! 原文链接:https://twitter.com/shmula/status/1434747560770428930原文作者:PeterAbilla译者:深链财经TankerNFT项目Loo.
1900/1/1 0:00:00据Livebitcoinnews消息,支付公司Square正在加入一项针对加密货币的互不侵犯协议,该协议旨在减少针对加密和区块链公司的专利诉讼,并将数字货币世界推向主流领域.
1900/1/1 0:00:00周二,美国参议院银行委员会举行了听证会,会上讨论了CBDC和金融隐私问题。 美联储主席鲍威尔称美国中央银行数字货币(CBDC)的开发是“关键工作”,他对参议员PatToomey(R-Pa.)表示,广泛协商并得到来自国会的最终授权将是理.
1900/1/1 0:00:00Bytom2.0上线已有三周时间,其中,有关Bytom2.0合约体系在此次更新中进行了重大升级,升级内容包括但不限于UTXO的世界状态、类Goland的开发语言、更完备的操作符、注册合约以及后续对EVM的兼容等内容.
1900/1/1 0:00:00