区块链:百密一疏：Force DAO假充值攻击事件分析_bDollar Share

摘要:ForceDAO假充值攻击事件分析北京时间2021年4月4日，区块链项目?ForceDAO?发推提醒用户称「请停止在?Sushiswap?和?Uniswap?上的所有交易。」此前，FORCE?代币被大量增发，ForceDAO?表示「团队已意识到?xFORCE?合约漏洞，并确定了问题。xFORCE?合约上没有更多的资金可供利用。团队将在未来几个小时内提供报告和下一步行动。」

动态 | 杭州市红十字会开出浙江首张区块链电子捐赠票据:2月19日，浙江医学科技开发有限公司、维健商务咨询（杭州）有限公司业务联系人的邮箱收到公司108名员工为新冠病肺炎捐款的区块链捐赠电子票据。这是在杭州市财政局的支持帮助下，杭州市红十字会开出的全省第一张区块链电子捐赠票据。捐赠电子票据可追溯、可查验、防篡改、防造假的全面升级，大大提升了捐赠票据开具和送达的效率，降低了人力物力成本。（钱江晚报）[2020/2/20]

400

动态 | 杭州市推出“云上城管”扫地机器人 将区块链应用至城管领域:钱江晚报消息，11月21日，作为杭州试点的下城“云上城管”二期发布，一台5G+AI+无人驾驶扫地机器人上线。据悉，“云上城管”二期由美丽河道系统、道路健康平整度检测系统、AI智能分析系统组成。其中道路健康平整度检测系统尤为亮眼，这是第一个城管领域的区块链应用，也是第一次将市政道路注入动态生命，杭州市也打算将该项目推广到全市。[2019/11/22]

SharkTeam第一时间对此事件进行了攻击分析和技术分析，并总结了安全防范手段，希望后续的区块链项目可以引以为戒，共筑区块链行业的安全防线。

现场 | 杭州市人民政府副市长陈卫强：杭州将打造数字经济第一城:金色财经现场报道，11月19日，杭州市人民政府副市长陈卫强在“2018区块链新经济杭州峰会”现场致辞。他说，杭州出台了打造数字经济第一城计划，加快经济转型、实施数字经济1号计划。他表示，今后杭州将推进各类基于区块链的技术创新，推动分布式账本，人工智能等技术的大力发展。[2018/11/19]

一、攻击分析

通过初步分析，ForceDAO合约中的漏洞主要在xFORCE合约代码ForceProfitSharing.sol上。该漏洞令所有人都可以在没有FORCE的时候，铸造xFORCE。然后再将新铸造的xFORCE交换为FORCE。代码分析如下：合约地址为：0xe7f445b93eb9cdabfe76541cc43ff8de930a58e6首先看一下出问题的xFORCE铸币代码：

Paradigm：投资FTX相关公司的2.9亿美元已减至零:金色财经报道，据两位知情人士透露，加密投资公司Paradigm已告知其有限合伙人，在流动性崩溃后，其对FTX 的投资减至零。?Paradigm称，他向FTX投资了有关联的公司投资了 2.9 亿美元。尽管进行了投资，但它不是 FTX 的客户，也没有对该公司的加密资产敞口。[2022/11/13 12:57:43]

可以看到合约在帮用户铸造xFORCE之后，然后将FORCE通过force.?transferFrom扣除用户的FORCE。但是并没有判断这个函数是否执行成功。我们继续查看FORCE合约中的transferFrom：合约地址：0xd017D2403d779A31e1fA2261e0D3997bCACad851

在这个合约中只判断了用户的额度，当额度不足时返回false,由于xFORCE的合约中没有做执行结果的判定，所以无论用户账户中是否有足够的额度，都会铸币成功。所以额度不足的用户会凭空得到一大笔xFORCE，而后再使用xFORCE的withdraw函数，就可以使用刚刚凭空得到的xFORCE来兑换合约中的FORCE。从而导致资金损失。

这个是其中一个攻击者的钱包地址：0x6807d7f7df53b7739f6438eabd40ab8c262c0aa8交易地址：0x37b44d5dbbe9c1dd75223e15977153234e8a4dbbbab2495cdcc531f44bf6e3d0

而后通过withdraw将得到的xFORCE转换为FORCE

二、SharkTeam安全建议

在本次攻击事件中，主要原因在于外部合约?xForce?在调用代币转让时未严格判断其返回值，导致用户可以随意铸币的情况发生。该漏洞是典型的“假充值”的合约漏洞，可以在关键逻辑上增加权限控制，在项目上线之前请专业的智能合约审计机构进行严格的审计，保障智能合约和数字资产安全。

标签：区块链EDASHARAN区块链用大白话解释MEDAI币bDollar ShareFRANC

Ethereum热门资讯