ForceDAO 项目 xFORCE 大量增发事件简析

 

创宇区块链安全实验室 水手 2021-05-08 16:44:11 发布在 区块链社区

660 0

根据社区消息,Force DAO 项目资金库被黑客攻击。知道创宇区块链安全实验室 第一时间跟进分析发现,Force DAO 项目资金库被清空,主要是其项目 xFORCE 代币被大量增发导致。

以下为分析详情,供大家研究。

知道创宇区块链安全实验室分析后发现:用户在通过 ForceProfitSharing 合约中调用 deposit 函数进行充值时,会通过其项目代币的 transferFrom 函数将对应数量的 FORCE 代币充值进 ForceProfitSharing 合约,如下图所示:


通过分析其 FORCE 代币合约发现其 transferFrom 函数实现存在假充值风险,即使用 if…else 写法来进行条件判断,如下图所示:
代币合约地址:

https://etherscan.io/address/0x6807d7f7df53b7739f6438eabd40ab8c262c0aa8#code

transferFrom 函数实际调用 doTransfer 函数进行代币转账,该函数中转账条件未使用硬判断,返回 false 导致实际转账条件不满足时,代币并未被实际转账进入 ForceProfitSharing 合约,从而导致 xFORCE 代币被大量铸币。

创宇区块链安全实验室发现,从该链接
https://etherscan.io/tx/0x09de7440b5677c6ca84ec5361218951600916210e4027f19bcc4f7f1081f624f#statechange)开始,xFORCE 合约的_totalSupply 变量状态开始出现交易异常:

最终导致如下图所示的异常铸币数量:


知道创宇区块链安全实验室 再次警惕项目方进行代币合约开发时,使用正确的代币转账逻辑,谨防假充值攻击带来的异常程序执行。

ForceDAO 项目 xFORCE 大量增发事件简析

创宇区块链安全实验室 水手 2021-05-08 16:44:11 发布在 区块链社区

660 0

根据社区消息,Force DAO 项目资金库被黑客攻击。知道创宇区块链安全实验室 第一时间跟进分析发现,Force DAO 项目资金库被清空,主要是其项目 xFORCE 代币被大量增发导致。

以下为分析详情,供大家研究。

知道创宇区块链安全实验室分析后发现:用户在通过 ForceProfitSharing 合约中调用 deposit 函数进行充值时,会通过其项目代币的 transferFrom 函数将对应数量的 FORCE 代币充值进 ForceProfitSharing 合约,如下图所示:


通过分析其 FORCE 代币合约发现其 transferFrom 函数实现存在假充值风险,即使用 if…else 写法来进行条件判断,如下图所示:
代币合约地址:

https://etherscan.io/address/0x6807d7f7df53b7739f6438eabd40ab8c262c0aa8#code

transferFrom 函数实际调用 doTransfer 函数进行代币转账,该函数中转账条件未使用硬判断,返回 false 导致实际转账条件不满足时,代币并未被实际转账进入 ForceProfitSharing 合约,从而导致 xFORCE 代币被大量铸币。

创宇区块链安全实验室发现,从该链接
https://etherscan.io/tx/0x09de7440b5677c6ca84ec5361218951600916210e4027f19bcc4f7f1081f624f#statechange)开始,xFORCE 合约的_totalSupply 变量状态开始出现交易异常:

最终导致如下图所示的异常铸币数量:


知道创宇区块链安全实验室 再次警惕项目方进行代币合约开发时,使用正确的代币转账逻辑,谨防假充值攻击带来的异常程序执行。

时光素材-香车美女  (1061)blockchainBTC比特币区块链www.qkl91.com

发表评论

邮箱地址不会被公开。 必填项已用*标注