慢霧：DeFi 量化對沖基金 Force DAO 項目 FORCE 代幣被大量增發_ING

鏈聞消息，據慢霧區消息，DeFi量化對沖基金ForceDAO項目的FORCE代幣被大量增發。經慢霧安全團隊分析發現，在用戶進行deposit操縱時，ForceDAO會為用戶鑄造xFORCE代幣，并通過FORCE代幣合約的transferFrom函數將FORCE代幣轉入ForceProfitSharing合約中。但FORCE代幣合約的transferFrom函數使用了if-else邏輯來檢查用戶的授權額度，當用戶的授權額度不足時transferFrom函數返回false，而ForceProfitSharing合約并未對其返回值進行檢查。導致了deposit的邏輯正常執行，xFORCE代幣被順利鑄造給用戶，但由于transferFrom函數執行失敗FORCE代幣并未被真正充值進ForceProfitSharing合約中。最終造成FORCE代幣被非預期的大量鑄造的問題。此漏洞發生的主要原因在于FORCE代幣的transferFrom函數使用了「假充值」寫法，但外部合約在對其進行調用時并未嚴格的判斷其返回值，最終導致這一慘劇的發生。慢霧安全團隊建議在對接此類寫法的代幣時使用require對其返回值進行檢查，以避免此問題的發生。ForceDAO對此表示，「團隊已意識到xFORCE合約漏洞，xFORCE合約上沒有更多的資金可供利用。所有其他的資金庫都是安全的。團隊將在未來幾個小時內提供報告和下一步行動。」

慢霧：LendHub疑似被攻擊損失近600萬美金，1100枚ETH已轉移到Tornado Cash:金色財經報道，據慢霧區情報，HECO生態跨鏈借貸平臺LendHub疑似被攻擊，主要黑客獲利地址為0x9d01..ab03。黑客于1月12日從Tornado.Cash接收100ETH后，將部分資金跨鏈到Heco鏈展開攻擊后獲利，后使用多個平臺（如TransitSwap、Multichain、Uniswap、Curve和OptimismBridge）跨鏈或兌換被盜資金。截至目前，黑客已分11筆共轉1,100ETH到Tornado.Cash。被攻擊的具體原因尚待分析，慢霧安全團隊將持續跟進此事件。[2023/1/13 11:10:43]

慢霧：GenomesDAO被黑簡析:據慢霧區hacktivist消息，MATIC上@GenomesDAO項目遭受黑客攻擊，導致其LPSTAKING合約中資金被非預期的取出。慢霧安全團隊進行分析有以下原因：

1.由于GenomesDAO的LPSTAKING合約的initialized函數公開可調用且無權限與不可能重復初始化限制，攻擊者利用initialized函數將合約的stakingToken設置為攻擊者創建的虛假LP代幣。

2.隨后攻擊者通過stake函數進行虛假LP代幣的抵押操作，以獲得大量的LPSTAKING抵押憑證。

3.獲得憑證后再次通過initialized函數將合約的stakingToken設置為原先真是的LP代幣，隨后通過withdraw函數銷毀LPSTAKING憑證獲取合約中真實的LP抵押物。

4.最后將LP發送至DEX中移除流動性獲利。

本次事件是因為GenomesDAO的LPSTAKING合約可被任意重復初始化設置關鍵參數而導致合約中的抵押物被惡意耗盡。[2022/8/7 12:07:06]

慢霧：去中心化期權協議Acutus的ACOWriter合約存在外部調用風險:據慢霧區消息，2022年3月29日，Acutus的ACOWriter合約遭受攻擊，其中_sellACOTokens函數中外部調用用到的_exchange和exchangeData參數均為外部可控，攻擊者可以通過此漏洞進行任意外部調用。目前攻擊者利用該手法已經盜取了部分授權過該合約的用戶的資產約72.6萬美金。慢霧安全團隊提醒使用過該合約的用戶請迅速取消對該合約的授權以規避資產被盜風險。[2022/3/29 14:25:07]

Tags：ORCFORFORCEINGORCH幣Baby Clifford InuMoonForceMarketing Samurai

ETH