以太坊:慢雾：DeFi 量化对冲基金 Force DAO 项目 FORCE 代币被大量增发_以太坊价格今日行情分析

链闻消息，据慢雾区消息，DeFi量化对冲基金ForceDAO项目的FORCE代币被大量增发。经慢雾安全团队分析发现，在用户进行deposit操纵时，ForceDAO会为用户铸造xFORCE代币，并通过FORCE代币合约的transferFrom函数将FORCE代币转入ForceProfitSharing合约中。但FORCE代币合约的transferFrom函数使用了if-else逻辑来检查用户的授权额度，当用户的授权额度不足时transferFrom函数返回false，而ForceProfitSharing合约并未对其返回值进行检查。导致了deposit的逻辑正常执行，xFORCE代币被顺利铸造给用户，但由于transferFrom函数执行失败FORCE代币并未被真正充值进ForceProfitSharing合约中。最终造成FORCE代币被非预期的大量铸造的问题。此漏洞发生的主要原因在于FORCE代币的transferFrom函数使用了「假充值」写法，但外部合约在对其进行调用时并未严格的判断其返回值，最终导致这一惨剧的发生。慢雾安全团队建议在对接此类写法的代币时使用require对其返回值进行检查，以避免此问题的发生。ForceDAO对此表示，「团队已意识到xFORCE合约漏洞，xFORCE合约上没有更多的资金可供利用。所有其他的资金库都是安全的。团队将在未来几个小时内提供报告和下一步行动。」

慢雾：警惕针对 Blur NFT 市场的批量挂单签名“零元购”钓鱼风险:金色财经报道，近期，慢雾生态安全合作伙伴 Scam Sniffer 演示了一个针对 Blur NFT 市场批量挂单签名的“零元购”钓鱼攻击测试，通过一个如图这样的“Root 签名”即可以极低成本（特指“零元购”）钓走目标用户在 Blur 平台授权的所有 NFT，Blur 平台的这个“Root 签名”格式类似“盲签”，用户无法识别这种签名的影响。慢雾安全团队验证了该攻击的可行性及危害性。特此提醒 Blur 平台的所有用户警惕，当发现来非 Blur 官方域名(blur.io)的“Root 签名”，一定要拒绝，避免潜在的资产损失。[2023/3/7 12:46:39]

慢雾：nanotron安全审计报告是伪造的:慢雾科技发推表示：团队并没有对于nanotron进行审计，项目的安全审计报告是伪造的，请注意防范风险。[2020/10/8]

声音 | 慢雾：EOS假充值红色预警后续:慢雾安全团队今早发布了 EOS 假充值红色预警后，联合 EOSPark 的大数据分析系统持续跟踪和分析发现：从昨日开始，存在十几个帐号利用这类攻击技巧对数字货币交易所、钱包等平台进行持续性攻击，并有被真实攻击情况。慢雾安全团队在此建议各大交易所、钱包、DApp 做好相关防御措施，严格校验发送给自己的转账交易在不可逆的状态下确认交易的执行状态是否为 executed。除此之外，确保以下几点防止其他类型的“假充值”攻击： 1. 判断 action 是否为 transfer 2. 判断合约账号是否为 eosio.token 或其它 token 的官方合约 3. 判断代币名称及精度 4. 判断金额 5. 判断 to 是否是自己平台的充币账号。[2019/3/12]

标签：以太坊FIL比特币FORCE以太坊价格今日行情分析FILE比特币汇率FORCE币

BTC热门资讯