创宇区块链安全实验室 水手 2021-05-08 16:44:11 发布在 区块链社区
660 0
根据社区消息,Force DAO 项目资金库被黑客攻击。知道创宇区块链安全实验室 第一时间跟进分析发现,Force DAO 项目资金库被清空,主要是其项目 xFORCE 代币被大量增发导致。
以下为分析详情,供大家研究。
知道创宇区块链安全实验室分析后发现:用户在通过 ForceProfitSharing 合约中调用 deposit 函数进行充值时,会通过其项目代币的 transferFrom 函数将对应数量的 FORCE 代币充值进 ForceProfitSharing 合约,如下图所示:
通过分析其 FORCE 代币合约发现其 transferFrom 函数实现存在假充值风险,即使用 if…else 写法来进行条件判断,如下图所示:
代币合约地址:
https://etherscan.io/address/0x6807d7f7df53b7739f6438eabd40ab8c262c0aa8#code
transferFrom 函数实际调用 doTransfer 函数进行代币转账,该函数中转账条件未使用硬判断,返回 false 导致实际转账条件不满足时,代币并未被实际转账进入 ForceProfitSharing 合约,从而导致 xFORCE 代币被大量铸币。
创宇区块链安全实验室发现,从该链接
(https://etherscan.io/tx/0x09de7440b5677c6ca84ec5361218951600916210e4027f19bcc4f7f1081f624f#statechange)开始,xFORCE 合约的_totalSupply 变量状态开始出现交易异常:
最终导致如下图所示的异常铸币数量:
知道创宇区块链安全实验室 再次警惕项目方进行代币合约开发时,使用正确的代币转账逻辑,谨防假充值攻击带来的异常程序执行。
ForceDAO 项目 xFORCE 大量增发事件简析
创宇区块链安全实验室 水手 2021-05-08 16:44:11 发布在 区块链社区
660 0
根据社区消息,Force DAO 项目资金库被黑客攻击。知道创宇区块链安全实验室 第一时间跟进分析发现,Force DAO 项目资金库被清空,主要是其项目 xFORCE 代币被大量增发导致。
以下为分析详情,供大家研究。
知道创宇区块链安全实验室分析后发现:用户在通过 ForceProfitSharing 合约中调用 deposit 函数进行充值时,会通过其项目代币的 transferFrom 函数将对应数量的 FORCE 代币充值进 ForceProfitSharing 合约,如下图所示:
通过分析其 FORCE 代币合约发现其 transferFrom 函数实现存在假充值风险,即使用 if…else 写法来进行条件判断,如下图所示:
代币合约地址:
https://etherscan.io/address/0x6807d7f7df53b7739f6438eabd40ab8c262c0aa8#code
transferFrom 函数实际调用 doTransfer 函数进行代币转账,该函数中转账条件未使用硬判断,返回 false 导致实际转账条件不满足时,代币并未被实际转账进入 ForceProfitSharing 合约,从而导致 xFORCE 代币被大量铸币。
创宇区块链安全实验室发现,从该链接
(https://etherscan.io/tx/0x09de7440b5677c6ca84ec5361218951600916210e4027f19bcc4f7f1081f624f#statechange)开始,xFORCE 合约的_totalSupply 变量状态开始出现交易异常:
最终导致如下图所示的异常铸币数量:
知道创宇区块链安全实验室 再次警惕项目方进行代币合约开发时,使用正确的代币转账逻辑,谨防假充值攻击带来的异常程序执行。
