摘要:ForceDAO假充值攻击事件分析北京时间2021年4月4日,区块链项目?ForceDAO?发推提醒用户称「请停止在?Sushiswap?和?Uniswap?上的所有交易。」此前,FORCE?代币被大量增发,ForceDAO?表示「团队已意识到?xFORCE?合约漏洞,并确定了问题。xFORCE?合约上没有更多的资金可供利用。团队将在未来几个小时内提供报告和下一步行动。」
Osmosis已通过关于Thridening的两项提案:7月11日消息,基于Cosmos的去中心化交易所Osmosis已通过关于Thridening的两项提案,其中551提案提议燃烧6月20日Thirdening事件延迟期间产生的约54万枚多余的OSMO,将最大发行量恢复至10亿枚;552提案提议将Thirdening效果恢复为1/3缩减、将间隔时间延长至两年。[2023/7/11 10:47:26]
400
美联储梅斯特:进一步加息仍是必要的:金色财经报道,美联储梅斯特表示,进一步加息仍是必要的;政策利率应当比政策制定者共同预测的2023年底5%-5.25%的范围更“高一些”。[2023/1/19 11:19:40]
SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。
一、攻击分析
通过初步分析,ForceDAO合约中的漏洞主要在xFORCE合约代码ForceProfitSharing.sol上。该漏洞令所有人都可以在没有FORCE的时候,铸造xFORCE。然后再将新铸造的xFORCE交换为FORCE。代码分析如下:合约地址为:0xe7f445b93eb9cdabfe76541cc43ff8de930a58e6首先看一下出问题的xFORCE铸币代码:
瑞士国家银行:不需要中央银行数字货币:金色财经报道,瑞士国家银行理事会候补成员Thomas Moser表示,他认为还没有必要发行央行数字货币。CNBC的Arjun Kharpal报道,世界各地的中央银行正在探索 CBDC 的使用。[2023/1/12 11:08:52]
可以看到合约在帮用户铸造xFORCE之后,然后将FORCE通过force.?transferFrom扣除用户的FORCE。但是并没有判断这个函数是否执行成功。我们继续查看FORCE合约中的transferFrom:合约地址:0xd017D2403d779A31e1fA2261e0D3997bCACad851
蒂芙尼NFT“NFTiff”地板价跌破初始定价30 ETH,交易额达200万美元:金色财经报道,据NFTGo最新数据显示,蒂芙尼NFT“NFTiff”交易额已达200万美元,市值为1065万美元,但地板价已下跌至24.69 ETH,跌破初始定价价30 ETH,24小时跌幅为13.97%。据此前披露,珠宝巨头蒂芙尼这套专属NFT系列限量250枚,每个定价为30 ETH,约合5.1万美元。[2022/8/7 12:07:48]
在这个合约中只判断了用户的额度,当额度不足时返回false,由于xFORCE的合约中没有做执行结果的判定,所以无论用户账户中是否有足够的额度,都会铸币成功。所以额度不足的用户会凭空得到一大笔xFORCE,而后再使用xFORCE的withdraw函数,就可以使用刚刚凭空得到的xFORCE来兑换合约中的FORCE。从而导致资金损失。
这个是其中一个攻击者的钱包地址:0x6807d7f7df53b7739f6438eabd40ab8c262c0aa8交易地址:0x37b44d5dbbe9c1dd75223e15977153234e8a4dbbbab2495cdcc531f44bf6e3d0
而后通过withdraw将得到的xFORCE转换为FORCE
二、SharkTeam安全建议
在本次攻击事件中,主要原因在于外部合约?xForce?在调用代币转让时未严格判断其返回值,导致用户可以随意铸币的情况发生。该漏洞是典型的“假充值”的合约漏洞,可以在关键逻辑上增加权限控制,在项目上线之前请专业的智能合约审计机构进行严格的审计,保障智能合约和数字资产安全。
标签:FORCEFORORCNFTEfforceColor PlatformPhoenix ForceBAYC Vault (NFTX)
来源|?@prysmaticlabs作者|RaulJordan区块链的一个基本属性是“最终确定性(finality)”,它的大概意思是经过一定时间后,被打包到权威链的交易是极其困难.
1900/1/1 0:00:00据PRNewswire消息,9月23日,加密货币平台Blockchain.com宣布为美国俄克拉荷马州400万居民提供托管和经纪产品资格,此外还将为该州提供远程工作机会.
1900/1/1 0:00:00原标题:《关于Web3的有用资源》Web3将继续存在,而教育将成为将新人带入这个空间的更大驱动力。特别是在开发和用户入门方面,越来越多的人开始尝试DAO贡献和学习.
1900/1/1 0:00:00l?本系列栏目旨在聚焦区块链行业要闻的摘录与洞察l?一周链上动向,一手即刻掌握l?部分图文素材源自网络;如有侵权.
1900/1/1 0:00:00原文标题:《详解知名风投a16z向美国政府提交的加密货币监管提案的四大方向》撰文:PANewsJordan本文部分内容参考自Coindesk本周.
1900/1/1 0:00:00本文来自decrypt,原文作者:JeffJohnRobertsOdaily星球日报译者|Moni 本周,Twitter推出了一项可以改变世界的BTC功能——但前提是.
1900/1/1 0:00:00