摘要:ForceDAO假充值攻擊事件分析北京時間2021年4月4日,區塊鏈項目?ForceDAO?發推提醒用戶稱「請停止在?Sushiswap?和?Uniswap?上的所有交易。」此前,FORCE?代幣被大量增發,ForceDAO?表示「團隊已意識到?xFORCE?合約漏洞,并確定了問題。xFORCE?合約上沒有更多的資金可供利用。團隊將在未來幾個小時內提供報告和下一步行動。」
星巴克本周三將推出新NFT,數量為5000個:4月18日消息,星巴克宣布太平洋夏令時間4月19日上午9點將推出Polygon鏈上的NFT系列“First Store Collection”,NFT數量為5,000個,每個價格為100美元。此前已經擁有兩張星巴克NFT郵票的用戶將在周三搶先體驗。
據悉,該系列NFT靈感來自星巴克在西雅圖Pike Place Market的第一家商店。用戶購買NFT可獲得1,500積分,并在其Web3平臺Starbucks Odyssey中兌換獎勵。此外,Starbucks Odyssey還將于4月24日為Beta版用戶推出一系列福利。[2023/4/18 14:10:14]
400
Twitter已停止為Blue訂閱者提供無廣告服務:金色財經報道,據《華爾街日報》披露,Twitter已停止為Blue訂閱者提供無廣告文章服務,以將其“資源用于為訂閱者增加額外價值”。 Twitter去年推出 4.99 美元的 Blue 訂閱服務時收錄了無廣告文章,但現在將不再在應用程序中的文章上顯示“Twitter Blue Publisher”標簽,還將停止“無廣告體驗”加載到出版商的網站上。[2022/11/1 12:06:10]
BNB 實時銷毀量已超12萬枚:9月19日消息,據BNBBurn.info數據顯示,BNB實時銷毀量已超12萬枚,當前為120,344枚左右,近7日銷毀量超1718枚。BNB的實時銷毀機制由BEP95提出,類似以太坊當前的EIP-1559銷毀機制。[2022/9/19 7:06:12]
SharkTeam第一時間對此事件進行了攻擊分析和技術分析,并總結了安全防范手段,希望后續的區塊鏈項目可以引以為戒,共筑區塊鏈行業的安全防線。
一、攻擊分析
通過初步分析,ForceDAO合約中的漏洞主要在xFORCE合約代碼ForceProfitSharing.sol上。該漏洞令所有人都可以在沒有FORCE的時候,鑄造xFORCE。然后再將新鑄造的xFORCE交換為FORCE。代碼分析如下:合約地址為:0xe7f445b93eb9cdabfe76541cc43ff8de930a58e6首先看一下出問題的xFORCE鑄幣代碼:
Canto生態DEX forte已上線LP管理功能:金色財經消息,Cosmos生態兼容EVM的Layer 1公鏈Canto生態的DEX forte已上線LP管理功能,所有的池子都將自動在Slingshot上進行交易,隨后也將在短期內發布交易功能。[2022/8/23 12:42:28]
可以看到合約在幫用戶鑄造xFORCE之后,然后將FORCE通過force.?transferFrom扣除用戶的FORCE。但是并沒有判斷這個函數是否執行成功。我們繼續查看FORCE合約中的transferFrom:合約地址:0xd017D2403d779A31e1fA2261e0D3997bCACad851
在這個合約中只判斷了用戶的額度,當額度不足時返回false,由于xFORCE的合約中沒有做執行結果的判定,所以無論用戶賬戶中是否有足夠的額度,都會鑄幣成功。所以額度不足的用戶會憑空得到一大筆xFORCE,而后再使用xFORCE的withdraw函數,就可以使用剛剛憑空得到的xFORCE來兌換合約中的FORCE。從而導致資金損失。
這個是其中一個攻擊者的錢包地址:0x6807d7f7df53b7739f6438eabd40ab8c262c0aa8交易地址:0x37b44d5dbbe9c1dd75223e15977153234e8a4dbbbab2495cdcc531f44bf6e3d0
而后通過withdraw將得到的xFORCE轉換為FORCE
二、SharkTeam安全建議
在本次攻擊事件中,主要原因在于外部合約?xForce?在調用代幣轉讓時未嚴格判斷其返回值,導致用戶可以隨意鑄幣的情況發生。該漏洞是典型的“假充值”的合約漏洞,可以在關鍵邏輯上增加權限控制,在項目上線之前請專業的智能合約審計機構進行嚴格的審計,保障智能合約和數字資產安全。
巴比特訊,MetaMask最新發推再次提示有關Airdrop詐騙相關的內容。ConsenSys的去中心化Web開發人員DanFinlay聲稱,該騙局涉及鑄造新的惡意令牌,將其發送到用戶帳戶,并依.
1900/1/1 0:00:00據Bitcoin.com消息,俄羅斯境內韃靼斯坦共和國地區法院延長了對KirillDoronin的拘留,他是俄羅斯近年來最大的加密龐氏騙局Finiko的創始人.
1900/1/1 0:00:00巴比特訊,9月26日,在2021年區塊鏈服務網絡全球合作伙伴大會上,微眾銀行區塊鏈戰略合作負責人鄧偉平在發表主題演講時指出,隱私計算與區塊鏈融合發展產業落地實踐中.
1900/1/1 0:00:00路印CTO從多層面分析現階段Layer2賽道項目,誰才是真正的Layer2未來。從NFT到GameFi,再到Loot,在市場熱潮的幾番更迭下,市場對于Layer2的需求已經逐漸加大,隨著Arbi.
1900/1/1 0:00:00作者|?陳麗姍?編審?|于百程?排版?|?王紀瓏琰 導讀 據彭博資訊分析,到2024年,元宇宙的市場規模將達到8000億美元。元宇宙有三個關鍵方面:存在感、互操作性和標準化.
1900/1/1 0:00:00原文來自:@DecentBass@a16z?嘉賓:JeffTunnell?&JoshWilliams以下是對本集播客的總結。和大多數行業一樣,游戲行業向互聯網轉型的速度很慢.
1900/1/1 0:00:00