PROT:ForceDAO 项目 xFORCE 大量增发事件简析_FOR

撰稿：知道创宇区块链安全实验室根据社区消息，ForceDAO项目资金库被黑客攻击。知道创宇区块链安全实验室第一时间跟进分析发现，ForceDAO项目资金库被清空主要是由于其项目xFORCE代币被大量增发导致。以下为分析详情，供大家研究。知道创宇区块链安全实验室分析后发现：用户在通过ForceProfitSharing合约中调用deposit函数进行充值时，会通过其项目代币的transferFrom函数将对应数量的FORCE代币充值进ForceProfitSharing合约，如下图所示：

Terraform Labs旗下合成资产协议Mirror合约长期存在漏洞，7个月内损失或超3000万美元:5月28日消息，Terra研究论坛成员FatMan在社交媒体上发文表示，由Terraform Labs开发的合成资产协议Mirror合约长期存在漏洞。自2021年10月起，攻击者在7个月的时间内利用该漏洞多次进行攻击，最高单笔获利超400万美元（使用1万美元获利430万美元），均未被Terraform Labs或Mirror团队发现。

截止漏洞修复时，攻击者利用该漏洞的总获利可能已超3000万美元。FatMan表示，该漏洞于11天前被Mirror论坛成员发现并提出质疑，此后该漏洞被修复，但Mirror团队并未对此事进行任何声明。[2022/5/28 3:46:47]

Play It Forward DAO与P2E角色扮演游戏MetaGods达成合作:3月4日消息，Play It Forward DAO（PIF DAO）宣布与Play-To-Earn角色扮演游戏MetaGods达成合作。

Play It Forward的公会将为MetaGods玩家提供与其他玩家联系的机会，并更成功地计划突袭行动。此外，想要尝试游戏但没有资源购买最佳装备的玩家可以租用装备。此外，Play It Forward将使MetaGods玩家能够在同一个平台查看所有P2E数据，包括排名和资产。

据悉，Play It Forward DAO包括一个由菲律宾和印度尼西亚的40000多名玩家和3000名学者组成的公会，所有这些人都通过P2E学者管理计划进行管理。[2022/3/4 13:38:03]

通过分析其FORCE代币合约发现其transferFrom函数实现存在假充值风险，即使用if…else写法来进行条件判断，如下图所示：代币合约地址：https://etherscan.io/address/0x6807d7f7df53b7739f6438eabd40ab8c262c0aa8#code

原力协议开放金融服务平台ForTube 2.0今日正式开启公测:原力协议基金会宣布，COFi（加密开放金融）平台ForTube 2.0今日正式开启公测。ForTube平台包括Bond、Bank、QIAN、Exchange四大模块，为个人和企业提供加密数字资产投资、融资和交易服务，满足不同用户的COFi业务需求。此次开放公测的为Bond 2.0模块，为加密数字债券市场提供整套解决方案，包括信用评级、债券发行、债券清算、债券交易等。[2020/5/8]

transferFrom函数实际调用doTransfer函数进行代币转账，该函数中转账条件未使用硬判断，返回false导致实际转账条件不满足时，代币并未被实际转账进入ForceProfitSharing合约，从而导致xFORCE代币被大量铸币。

创宇区块链安全实验室发现，从该链接开始，xFORCE合约的_totalSupply变量状态开始出现交易异常：

最终导致如下图所示的异常铸币数量：

创宇区块链安全实验室再次警惕项目方进行代币合约开发时，使用正确的代币转账逻辑，谨防假充值攻击带来的异常程序执行。知道创宇唯一指定存证平台：www.attest.im联系我们：blockchain@knownsec.com知道创宇区块链安全实验室导航微信公众号@创宇区块链安全实验室

微博@知道创宇区块链实验室https://weibo.com/BlockchainLab知乎@知道创宇区块链安全实验室https://www.zhihu.com/org/zhi-dao-chuang-yu-qu-kuai-lian-an-quan-shi-yan-shiTwitter@KS_Blockchainhttps://twitter.com/KS_Blockchain

标签：PROTROTFORCEFORRepublic ProtocolEXCAVO ProtocolTheForce.Tradeforce币最新映射

比特币价格热门资讯