摘要:ForceDAO假充值攻擊事件分析北京時間2021年4月4日,區塊鏈項目?ForceDAO?發推提醒用戶稱「請停止在?Sushiswap?和?Uniswap?上的所有交易。」此前,FORCE?代幣被大量增發,ForceDAO?表示「團隊已意識到?xFORCE?合約漏洞,并確定了問題。xFORCE?合約上沒有更多的資金可供利用。團隊將在未來幾個小時內提供報告和下一步行動。」
列支敦士登私人銀行VP Bank選擇Metaco協助其開發數字資產托管服務:金色財經報道,列支敦士登私人銀行VP Bank (VPBN)與瑞士數字資產技術提供商Metaco建立了合作伙伴關系,VP Bank已將Metaco用于其Harmonize平臺,該平臺將用于擴展其數字資產托管和代幣化服務。VP Banks系繼花旗銀行、法國興業銀行、DekaBank和DZ Bank之后選擇Metaco協助其開發數字資產服務的第五家銀行。[2023/4/4 13:44:19]
400
Voyager Token VGX短時漲超18%,現報價0.394美元:3月4日消息,據行情數據顯示,Voyager Token VGX短時漲超18%,現報價0.394美元。
此前金色財經報道,聽證會上美國法官駁回了SEC等監管機構對Binance.US收購Voyager的反對意見。這表明收購交易將在聽證會結束后得到批準。[2023/3/4 12:42:24]
黑客再次通過“Vanity Adress”漏洞中獲得價值近100萬美元的ETH:金色財經報道,一名“0x9731F”的黑客再次通過以太坊“虛名地址(Vanity Adress)”漏洞中獲得價值近 100萬美元的 ETH。據悉,黑客使用了一個名為“Profanity”的工具生成以太坊“虛名地址”,手段與此前對做市商 Wintermute 的 1.6 億美元攻擊手法極為相似。另據 PeckShield 披露數據,該黑客于 9 月 25 日 竊取了 732 枚 ETH,然后將資金直接轉移到現已獲準的加密貨幣混合器 Tornado Cash。不過,攻擊發生之后 Profanity 開發人員已采取措施確保沒有人繼續使用該工具,相關代碼已被開發人員置于不可編譯的狀態且未設置為接收更多更新,存儲庫也已被歸檔。[2022/9/26 22:30:52]
SharkTeam第一時間對此事件進行了攻擊分析和技術分析,并總結了安全防范手段,希望后續的區塊鏈項目可以引以為戒,共筑區塊鏈行業的安全防線。
Forj與Polygon推出MetaPrints社交中心通行證,提供The Sandbox元宇宙體驗:8月13日消息,元宇宙項目MetaPrints宣布,Forj(前Bondly Finance)與Polygon的Social Hub Pass已開啟銷售,支持使用MATIC和BONDLY。
據悉,MetaPrints Social Hub Pass允許持有者在The Sandbox中享受10個社交中心體驗的增強獎勵,并探索與其喜愛的品牌聯系的新方式。[2022/8/13 12:23:01]
一、攻擊分析
通過初步分析,ForceDAO合約中的漏洞主要在xFORCE合約代碼ForceProfitSharing.sol上。該漏洞令所有人都可以在沒有FORCE的時候,鑄造xFORCE。然后再將新鑄造的xFORCE交換為FORCE。代碼分析如下:合約地址為:0xe7f445b93eb9cdabfe76541cc43ff8de930a58e6首先看一下出問題的xFORCE鑄幣代碼:
可以看到合約在幫用戶鑄造xFORCE之后,然后將FORCE通過force.?transferFrom扣除用戶的FORCE。但是并沒有判斷這個函數是否執行成功。我們繼續查看FORCE合約中的transferFrom:合約地址:0xd017D2403d779A31e1fA2261e0D3997bCACad851
在這個合約中只判斷了用戶的額度,當額度不足時返回false,由于xFORCE的合約中沒有做執行結果的判定,所以無論用戶賬戶中是否有足夠的額度,都會鑄幣成功。所以額度不足的用戶會憑空得到一大筆xFORCE,而后再使用xFORCE的withdraw函數,就可以使用剛剛憑空得到的xFORCE來兌換合約中的FORCE。從而導致資金損失。
這個是其中一個攻擊者的錢包地址:0x6807d7f7df53b7739f6438eabd40ab8c262c0aa8交易地址:0x37b44d5dbbe9c1dd75223e15977153234e8a4dbbbab2495cdcc531f44bf6e3d0
而后通過withdraw將得到的xFORCE轉換為FORCE
二、SharkTeam安全建議
在本次攻擊事件中,主要原因在于外部合約?xForce?在調用代幣轉讓時未嚴格判斷其返回值,導致用戶可以隨意鑄幣的情況發生。該漏洞是典型的“假充值”的合約漏洞,可以在關鍵邏輯上增加權限控制,在項目上線之前請專業的智能合約審計機構進行嚴格的審計,保障智能合約和數字資產安全。
鏈新原創作者|王晟宇 原標題:《亞運會火炬NFT炒至300萬元,天價背后無人接盤》支付寶的NFT標價又出現一則天價.
1900/1/1 0:00:009月18日,據TheBlock報道,根據提交給美國SEC的S-1文件,懷俄明州的一個去中心化自治組織(DAO)——CryptoFed,正在尋求向美國證券交易委員會(SEC)注冊為一家上市公司.
1900/1/1 0:00:00前文《打破K/V存儲的性能瓶頸》中,我們提到用一個哈希值來反映區塊鏈系統中所有對象的當前狀態集合,并稱之為“世界狀態”.
1900/1/1 0:00:00據TheBlock消息,9月30日,推特消費者營銷主管JustinTaylor發布了一段視頻,向想要設置NFT個人資料圖片的用戶展示了一項正在開發的工具,目前尚未發布.
1900/1/1 0:00:00尚未完全形成統一概念的元宇宙風潮已席卷國內外,成為當下的熱點話題之一。在上一篇文章中,我們進行了相對硬核的科普,簡單分享了支撐元宇宙實現的各項底層技術.
1900/1/1 0:00:00Mina宣布推出全新的社區資助計劃、社區星火排行榜計劃以及Mina學會和Mina成就計劃,以支持社區成員參與Mina的生態.
1900/1/1 0:00:00