[Force DAO 代币增发漏洞简析]据慢雾区消息,DeFi 量化对冲基金 Force DAO 项目的 FORCE 代币被大量增发。经慢雾安全团队分析发现: 在用户进行 deposit 操纵时,Force DAO 会为用户铸造 xFORCE 代币,并通过 FORCE 代币合约的 transferFrom 函数将 FORCE 代币转入 ForceProfitSharing 合约中。但 FORCE 代币合约的 transferFrom 函数使用了 if-else 逻辑来检查用户的授权额度,当用户的授权额度不足时 transferFrom 函数返回 false,而 ForceProfitSharing 合约并未对其返回值进行检查。导致了 deposit 的逻辑正常执行,xFORCE 代币被顺利铸造给用户,但由于 transferFrom 函数执行失败 FORCE 代币并未被真正充值进 ForceProfitSharing 合约中。最终造成 FORCE 代币被非预期的大量铸造的问题。 此漏洞发生的主要原因在于 FORCE 代币的 transferFrom 函数使用了`假充值`写法,但外部合约在对其进行调用时并未严格的判断其返回值,最终导致这一惨剧的发生。慢雾安全团队建议在对接此类写法的代币时使用 require 对其返回值进行检查,以避免此问题的发生。
相关快讯:
BitMEX母公司向比特币核心开发者Michael Ford提供10万美元资助:2月25日,加密货币衍生品交易所BitMEX的母公司100x Group宣布,将继续为比特币核心(Bitcoin Core)开发者Michael Ford提供资金支持,向其提供第三笔捐赠,金额为10万美元。至此,100x Group在三年内为Michael Ford总共提供了25万美元的资金支持。
此外,该笔捐赠将与Independent Reserve一起进行,Independent Reserve宣布将为Michael Ford提供额外的1.85万美元资助,即Michael Ford将获得的资助总金额为11.85万美元资助。[2021/2/25 15:44:46]
dForce官方:在Telegram群发现“网站钓鱼” 用户勿信:金色财经报道,dForce官方在社群中表示,在Telegram群发现“网站钓鱼”事件,有心人士模仿了Lendf.Me网站页面并更改域名,告知用户他们可以协助找回资金,要求用户先对他们的地址转账。dForce团队正积极处理这次事件,所有信息以dForce官方号为准。[2020/4/21]
动态 | 以太坊上Dapp热门排行榜:ForkDelta位列第一:据DappRadar数据,目前以太坊区块链上热度最高的Dapp为“交易所类”的ForkDelta,另一同类别的IDEX紧随其后,“竞猜类”的Fomo3D跃居第三;此前大热的加密猫CryptoKitties排名第五,新上线主网的Augur排名第六。[2018/7/11]
郑重声明: Force DAO 代币增发漏洞简析版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。