ForceDAO 項目 xFORCE 大量增發事件簡析_FOR

撰稿：知道創宇區塊鏈安全實驗室根據社區消息，ForceDAO項目資金庫被黑客攻擊。知道創宇區塊鏈安全實驗室第一時間跟進分析發現，ForceDAO項目資金庫被清空主要是由于其項目xFORCE代幣被大量增發導致。以下為分析詳情，供大家研究。知道創宇區塊鏈安全實驗室分析后發現：用戶在通過ForceProfitSharing合約中調用deposit函數進行充值時，會通過其項目代幣的transferFrom函數將對應數量的FORCE代幣充值進ForceProfitSharing合約，如下圖所示：

dForce社區發起DIP015投票，提議調整USX和EUX鑄造費用:11月7日消息，dForce社區發起DIP015投票，提議調整USX和EUX鑄造費用。提案建議將以太坊、Arbitrium和BSC上dForce Lending的USX和EUR鑄造費調整為每年1.5%。投票期限北京時間為11月7日18:00至11月10日18:00.

據介紹，USX和EUR是dForce上超額抵押穩定幣，目前鑄造費調整為每年13%，高于DAI和MIM。為了使鑄造與市場保持一致，目前的收費水平過高，為采用設置了不必要的障礙。[2021/11/7 6:37:15]

AAX交易所平臺幣AAB正式上線KeyFort (鎧付)錢包:據官方消息，AAX交易所平臺通證AAB已于11月10日正式上線區塊鏈數字資產錢包KeyFort (鎧付)錢包。用戶可以使用KeyFort 冷錢包及APP錢包發送、接收、存儲AAB資產。KeyFort (鎧付)總部位于新加坡，是致力于打造一站式加密資產安全服務的科技公司。AAX是一家倫敦證券交易所集團(LSEG)技術驅動的數字資產交易平臺，AAB 是AAX交易所的平臺幣，AAB可用于幣幣交易、合約交易手續費抵扣，AAX理財寶、等多種使用場景。[2020/11/10 12:11:00]

通過分析其FORCE代幣合約發現其transferFrom函數實現存在假充值風險，即使用if…else寫法來進行條件判斷，如下圖所示：代幣合約地址：https://etherscan.io/address/0x6807d7f7df53b7739f6438eabd40ab8c262c0aa8#code

BiKi平臺FOR連續三日上漲 累計漲幅38.31%:據BiKi行情數據顯示，截止今日19:30（GMT+8），平臺內幣種FOR連續三日持續上漲，累計漲幅38.31%，今日目前漲幅11.68%。現價0.0523USDT。行情波動較大，請注意風險控制。[2020/6/18]

transferFrom函數實際調用doTransfer函數進行代幣轉賬，該函數中轉賬條件未使用硬判斷，返回false導致實際轉賬條件不滿足時，代幣并未被實際轉賬進入ForceProfitSharing合約，從而導致xFORCE代幣被大量鑄幣。

創宇區塊鏈安全實驗室發現，從該鏈接開始，xFORCE合約的_totalSupply變量狀態開始出現交易異常：

最終導致如下圖所示的異常鑄幣數量：

創宇區塊鏈安全實驗室再次警惕項目方進行代幣合約開發時，使用正確的代幣轉賬邏輯，謹防假充值攻擊帶來的異常程序執行。知道創宇唯一指定存證平臺：www.attest.im聯系我們：blockchain@knownsec.com知道創宇區塊鏈安全實驗室導航微信公眾號@創宇區塊鏈安全實驗室

微博@知道創宇區塊鏈實驗室https://weibo.com/BlockchainLab知乎@知道創宇區塊鏈安全實驗室https://www.zhihu.com/org/zhi-dao-chuang-yu-qu-kuai-lian-an-quan-shi-yan-shiTwitter@KS_Blockchainhttps://twitter.com/KS_Blockchain

Tags：FORORCFORCE區塊鏈FORCE價格ORC幣GFORCE區塊鏈幣在中國合法嗎

幣安下載